Vsftpd

Aus LUGNMB

Wechseln zu: Navigation, Suche

Bei vsftp laeuft das eigentlich ganz simpel ab.

Zugang per User / PW

  • Du erstellst einen normalen User mit Kennung + Passwort.
    • Dann kannst du dich auf dem Rechner per ftp anmelden.
    • Fertig.
    • Beim Connect wird dann der User auf / geschickt.
      • Wenn du das mit dem chroot eingestellt hast - ist wohl ein Eintrag =yes und ein Eintrag =meinedateiwodrinstehtwerchrootetwird - werden die User, die in dieser Datei aufgefuehrt werden, automatisch in ihr Home-Verzeichnis eingesperrt. Sehr praktisch, weil sie so nur ihre eigenen Dateien kaputt machen koennen.
  • Irgendwo am Anfang der conf musst du was in der Art enable local User auf yes setze, damit die ueberhaupt duerfen

Zugriff als Gast = anonymer Benutzer

  • Der ist haariger.
  • Du stellst anonymous Access auf yes (genaue Bezeichnung in der conf hab ich jetzt nicht im Kopf)
  • Dann kann jeder mit anonymous / bzw ftp andocken.
  • Passworte sind so ziemlich egal.
    • Wenn du merkst, dass jemand oefters bei dir vorbei schleicht und nur Mist baut, kannst du sein Passwort in die blockedemail-Datei reinstellen. Dann ist ein Zugriff zumindest mit diesem Passwort nicht mehr drin. (Was ihn sicher nicht daran hindert, mit nem anderen Passwort rein zu kommen.)

Alternative

Das weitaus groessere Problem beim anonymous-Zugriff ist das Schreibrecht. Weil du ja nie weisst, wer da reinschneit. Boese Buben schicken dir da Files, die du a) nie haben wolltest (zB Kinderpornos, chracks, vieren, etc) oder b) so gross sind, dass deine Platte dicht ist.

Was hilft dagegen?

  1. Zum einen natuerlich ein kontrolliertes Schreibrecht.
  • Der anonyme User schreibt ins Homeverzeichnis von User ftp ( also zB /home/ftp)
    • Das kannst du soweit absichern, dass Dank quota nur ein paar kB moeglich sind.
  • Zum anderen vergrault es scriptkiddys, wenn sie zwar etwas abspeichern koennen, aber das dann nicht mehr lesen koennen.

Zu kompliziert?

Hier ein Beispiel:

  1. /home/ftp/input drwxrwx-wx chef:chef
  2. /home/ftp/output drwxr-xr-x chef:chef

Was tut das?

  • Das Input-Verzeichnis ist fuer alle beschreibbar aber nur der cheff kann nachsehen, was drin ist.
  • Aus dem Output kann jeder lesen aber nur der chef kann was reinschreiben.

Was bringt das?

Den anonymer Kinderpornoverteiler schreibt eine Datei ins input rein. Schaut nach und stellt fest, die ist nicht da. Mist - also nochmal. Der zweite Versuch schlaegt sofort fehl. Ueberschreiben geht ja nicht. Also gibt er auf. Der Chef schaut nach und findet die Datei. Die ist Schrott, also wird sie weggeschmissen / geloscht.

Den potenzieller FTP-Kunde schickt dir die furchtbar wichtige Datei ins input. Chef erkennt die Wichtigkeit. (Idealerweise hat der Typ beim Anmelden seine eMail als Passwort verwendet und du kannst gegebenenfalls nachfragen, was das denn fuer eine Datei ist.) Nachdem der Vierenscanner sein OK gegeben hat, wird sie von input nach output verschoben, mit chmod 744 datei fuer alle lesbar gemacht. Und schon freuen sich alle ueber die neuste Doku - oder was auch immer die Datei ist.

So und nun hast du die Wahl:

  1. du laesst nur bekannte Gesichter auf den FTP
  2. du laesst nur anonymous zu
  3. du hast feste Stammkunden mit eigenem Account und Fremde mit anonymous
Von „http://lugnmb.dyndns.org/mediawiki/index.php/Vsftpd
Persönliche Werkzeuge