» Установка и администрирование ProFTPD

Proftpd и FC8

Задача, надо сделать доступ по FTP под root. Т.е. просто разрешить авторизацию под root.
директива rootlogin on в конфиге стоит, но никаких результатов это не дает, acces deny

Прошу помочь сделать мне такой нехитрый конфиг.

Коллеги.
Как запретить доступ к определённой папке с любого IP кроме указанного?
Как вариант, запретить доступ конкретному пользователю со всех IP кроме указанных.
Как это сделать с анонимусом, это я знаю, но тут это с отдельным пользователем.
Анонимус закрыт и открываться не будет.

Код:
<Directory /path/to/dir>
<Limit ALL>
Order allow,deny
AllowUser vasisualy
Allow from your.ip.add.ress
DenyAll
</Limit>
</Directory>

Я пробовал

Цитата:

<Directory /mnt/raid/data/*>
<Limit LOGIN>
Allow 192.168.100.0/0
Allow ***.***.131.0/0
Allow ***.***.178.22
Allow ***.***.178.23
Allow ***.***.178.156
DenyAll
</Limit>
</Directory>

не работает.
что не так?
Спасибо

Добавлено:
Кстати.
Я вычитал(в другой доке, не в той что вы привели), что в блоке <Directory /path/to/dir> путь обязательно должен заканчиваться звёздочкой "*". Это не так или у вас описка?

gryu
что именно не работает?

я бы поправил Limit LOGIN на Limit ALL
и прописал бы явно Order allow,deny

Касаемо звездочки -

Цитата:

Any configuration directives in a <Directory> section will apply to that directory and to all of the contents of that directory recursively. Thus if you use:
<Directory /path/to/dir>
Umask 022
</Directory>
Then that Umask value will be used within the "/path/to/dir/subdir/" directory as well.

As noted in the documentation, use of a /* suffix on a path will change the effect of a <Directory> section slightly. For example:
<Directory /path/to/dir>
applies the section's configuration directives to the dir directory and its contents, while:
<Directory /path/to/dir/*>
applies the section's configuration directives only to the contents of dir, not to the directory itself. This is a small distinction, but it can often cause misconfigurations. In general, unless you know what you're doing, it's best not to use a /* suffix.

PQ17

Цитата:

что именно не работает?

Запрет не срабатывает.
Т.е. всёравно доступ смо всех IP.

P.S.
Сейчас буду "по вашему" пробовать

Добавлено:
что то не то... не срабатывает.
если не возражаете, перенесу на завтра. С работы гонят. КПП закроют..... ;-(

gryu
Limit LOGIN работает когда надо полностью запретить доступ, в контексте отдельных директорий смысла не имеет
Запретить доступ к папке - это запретить работу с ней, то есть Limit ALL (ну или более точно набор операций задать)

PQ17

Цитата:

<Directory /mnt/raid/data>
<Limit ALL>
Order allow,deny
AllowUser user
Allow 192.168.100.0/0
Allow ***.***.131.0/0
Allow ***.***.178.22
Allow ***.***.178.23
Allow ***.***.178.156
DenyAll
</Limit>
</Directory>

Не работает.
В какой раздел proftpd.conf это вписывается? В Global?

gryu
а маску поправить попробуй - вместо /0 напиши /24
писать без секции
конструкция
Цитата:

<Directory /home/wwk/log>
<Limit ALL>
Order allow,deny
allow from 127.0.0.1
deny from all
#allowUser wwk
</Limit>
</Directory>

работает - каталог log в хомяке можно просмотреть только с 127.0.0.1


Добавлено:
кстати, чтобы еще и по юзерам заработало ограничение надо чуть по другому делать:

Цитата:

<Directory /some/where/dir>
<Limit ALL>
Order deny,allow
allow from 127.0.0.1, 1.2.3.4, 192.168.0.0/24
denyUser !vasua
</Limit>
</Directory>

PQ17
Первый вариант заработал, насколько я из дома могу проверить.
Локалку проверить не могу.
Вы оказались правы.
маска 192.168.100.0/0 не понимается демоном.
поменял на 192.168.100.0/24 - заработало.
(посмотреть что именно ругается демон я не могу. Это "особая железяка" со спец сборкой на базе FreeBSD 7.2. Приходится "методом не научного тыка")

Доброго времени суток!
Помогите пожалуйста разобратся с настройкой ProFTPD, создал дугую тему....
[more=Подробнее в другом топике]http://forum.ru-board.com/topic.cgi?forum=65&bm=1&topic=4171#1[/more]

всем, привет

может уже где то обсуждалось,
поднять proftpd, захожу через фтп под пользователем, пользователь входит в группу которая владеет этим каталогом, пытаюсь туда скопировать файл а он пишет
-> STOR /local/pvt.tgz
<- 550 /local/pvt.tgz: Permission denied
подскажите где копать?
заранее благодарен

tolyn77
Permission denied - что как известно переводится как доступ запрещён.
Смотреть нужно разрешения на доступ.
Что с правами группы. Точно ли это та группа и т.д.

gryu
перевод то мы перевели (google помог)

пользователь входит в группу www, proftpd запускается от
User nobody
Group nogroup
DefaultRoot ~

вот сюда скопировать по фтп не могу
#[/var/www/local] #ls -al
total 4
drwxr-xr-x 2 www www 512 17 янв 12:52 .
drwxr-xr-x 12 root wheel 512 17 янв 12:52 ..

tolyn77

Цитата:

drwxr-xr-x 2 www www 512 17 янв 12:52 .

гм.. на директорию у вас права
владелец - полный доступ
группа - только чтение и запуск
остальные - отлько чтение и запуск.
Таким образом член группы www может войти в директорию и прочитать ототуда файлы.
Писать он не может.
Для записи должно быть
drwxrwxr-x

При запуске proftpd выдает ошибки
- error: no valid servers configured
- Fatal: error processing configuration file '/usr/local/etc/proftpd.conf'
Вот содержимое
#
# For more informations about Proftpd configuration
# look at : http://www.proftpd.org/
#
# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use. It establishes a single server
# and a single anonymous login. It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.

ServerName "ProFTPD Default Installation"
ServerType standalone
DefaultServer on
ScoreboardFile /var/run/proftpd/proftpd.scoreboard

# Port 21 is the standard FTP port.
Port 21

# Use IPv6 support by default.
#UseIPv6 no

# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask 022

# To prevent DoS attacks, set the maximum number of child processes
# to 30. If you need to allow more than 30 concurrent connections
# at once, simply increase this value. Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd).
MaxInstances 30

CommandBufferSize 512

# Set the user and group under which the server will run.
User nobody
Group nogroup

# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
#DefaultRoot ~

# Normally, we want files to be overwriteable.
AllowOverwrite on

# Bar use of SITE CHMOD by default
<Limit SITE_CHMOD>
DenyAll
</Limit>

# A basic anonymous configuration, no upload directories. If you do not
# want anonymous users, simply delete this entire <Anonymous> section.

#########################################################################
# #
# Uncomment lines with only one # to allow basic anonymous access #
# #
#########################################################################

#<Anonymous ~ftp>
# User ftp
# Group ftp

### We want clients to be able to login with "anonymous" as well as "ftp"
# UserAlias anonymous ftp

### Limit the maximum number of anonymous logins
# MaxClients 10

### We want 'welcome.msg' displayed at login, and '.message' displayed
### in each newly chdired directory.
# DisplayLogin welcome.msg
# DisplayFirstChdir .message

### Limit WRITE everywhere in the anonymous chroot
# <Limit WRITE>
# DenyAll
# </Limit>
#</Anonymous>

Что ему не нравится?

У вас должно ещё писаться "line ***"
Это как раз указание строки с ошибкой.
Дефолтные конфиги я вообще не запукал ниразу.
Попробуйте закомментировать строку ScoreboardFile /var/run/proftpd/proftpd.scoreboard
На DenyAll он ругатся в принципе не должен, но поменяйте на AllowAll
Это соответственно "доступ запрещён всем" и "доступ разрешён всем"

Ошибкка в логе proftpd

192.168.1.2 UNKNOWN root [16/Apr/2011:17:45:42 +0400] "USER ftpd" 331 -
192.168.1.2 UNKNOWN root [16/Apr/2011:17:46:15 +0400] "USER ftpd" 331 -

настроена идентификация через mysql по статье - http://www.howtoforge.com/virtual-hosting-with-proftpd-and-mysql-ubuntu-8.04 с поправкой что под FreeBSD

Если не сложно поделитесь грамотной проверенной статьей по развертыванию под freebsd proftp с виртуальными пользователями в mysql спасибо.
mysql 5.5 FreeBSD 8.2

DmitryV proftpd с хранением пользователей в MySQL

vlary
Спасибо большое, разобрался, ошибся в запросах.

Здравствуйте, помогите разобраться установил под FreeBSD ProFTPd, на клиентах где используется команда LIST (LIST -a) идет зависание, под CuteFTP 8 Pro все работает корректно, спасибо.

DmitryV Кури доки про активный и пассивный режимы FTP.
CuteFTP (в переводе "умный") сам умеет определять, каким режимом ему пользоваться, другим клиентам это нужно указывать в настройках.

vlary
на пассивном режиме и на активном одно и тоже на команде LIST -a все висит.
И какое вообще это имеет отношение к LIST - основное отличие между активным режимом FTP и пассивным режимом FTP – это сторона, которая открывает соединение для передачи данных

DmitryV Повысь детализацию логов, попробуй соединение с помощью CuteFTP и обычного клиента, и посмотри, какими командами они отличаются.
Вообще если сеанс виснет на передаче листинга, то это указывает на проблемы при создании канала передачи данных. До этого все ответы идут по каналу передачи команд.

Минимизировал проблему, дело в том что в клиенте необходимо задать сразу путь до корня рабочей папки отличный от его домашнего каталога, переходы из каталога разрешены и через CuteFTP сразу задан переход в /usr/local/www/work
но через клиента программы не работает зависает на команде LIST -a /usr/local/www/work - если не указывать директорию /usr/local/www/work то соединение идет с домашним каталогом пользователя и ошибка не возникает при любом режиме что пассивном что активном.
CuteFTP в логе:
CWD /usr/local/www/work
LIST -a
и все коректно.
В логах Клиента:
LIST -a /usr/local/www/work

Подскажите как реализовать на уровне конфиг файла:
есть рабочий каталог и 4 пользователя все 1 группе все по правам на FreeBSD, необходимо запретить 1 пользователю удаление и изменение файлов в этом каталоге по ftp (в системе через ssh права остаются неизменными), на уровне proftpd конфиг файла, спасибо.

Спасибо вопрос закрыт, сам разобрался.

Здраствуйте!
Пытаюсь запустить proftpd под Slackware 13. Настроил конфиг:
ServerName            "ProFTPD Default Installation"
ServerType            standalone
DefaultServer            on
ShowSymLinks off
RequireValidShell off
#DefaultRoot /home/aptftp
DefaultRoot /home/ftp ftpuser
DefaultRoot ~
# Port 21 is the standard FTP port.
Port                21
Umask                022
MaxInstances            15
AuthAliasOnly on
UserAlias xxxx ftpuser
UseFtpUsers off
AllowStoreRestart on
PersistentPasswd off
RootLogin off
AccessGrantMsg "Hello!!!"

SystemLog            /var/log/proftpd/proftpd.log
TransferLog            /var/log/proftpd/proftpdtf.log
ServerLog            /var/log/proftpd/proftpdserv.log
# Set the user and group that the server normally runs at.
User                nobody
Group                nogroup
#User ftp
#Group ftp
<Limit LOGIN>
AllowUser ftpuser
DenyALL
</Limit>
При включенных DefaultRoot /home/ftp ftpuser и DefaultRoot ~ не дает зайти на фтп.. в логах пишется
Prepraring to chroot to directory /home/ftp
chroot to /home/ftp failed for user ftpuser: Operation not permitted
Убираю эти 2 строки все заходит, могу лазить по всем папкам.
Подскажите, что можно сделать в этом случае.

Прикрутил TLS к proftp - всё работает, но через примерно 3 минуты (без TLS всё нормально работает) - "Не могу получить список каталогов!".

Если переконнектится, то опять на 3 минуты всё в порядке. Через 3 минуты - не могу получить...

При этом через 10 минут, если ничего не делать - в клиенте пишет что соединение закрыто сервером (согласно настройкам proftpd.conf).

Такое ощущение как-будто TLS отлючается раньше чем proftpd закрывает соединение.

Помогите кто сталкивался с такой проблемой пжлст.

P.S.
Что интересно - удержать соединение не помогает даже активность. Т.е. если файл закачивается больше 3 минут, то соединение все равно рвется.
Убираю TLS - всё нормально. Возращаю TLS - 3 минуты и всё...

Доброе время суток!
Проблема с отображением ктатлогов и файлов. Сервер ubuntu 11.04. ProfTpd установлена и работает: есть два пользователя один анонимный, другой для закачки и удваления файлов на фтп. Так вот, если соединяюсь на фтп через total commander -всё нормально отображаются содержимое каталогов, файлов и т.д. через explorer, chrom тоже всё нормально отображается. Но если заходить на фтп из opera или far, содержимое сервера не отображается. Вот часть логов с участием хрома и оперы:

share.sota-tv.com (10.255.2.248[10.255.2.248]): Ratio: chrome@example.com/nogroup 10.255.2.248[10.255.2.248]: -0/0 +0/0 (0 0 0 0) = 0/0.
Oct 06 11:24:44 share proftpd[5599] share.sota-tv.com (10.255.2.248[10.255.2.248]): ANON ftp: Login successful.
Oct 06 11:24:44 share proftpd[5599] share.sota-tv.com (10.255.2.248[10.255.2.248]): mod_ratio/3.3: chrome@example.com in /: CWD /public1/soft/tools/Total Commander 7.56a.zip
Oct 06 11:24:44 share proftpd[5599] share.sota-tv.com (10.255.2.248[10.255.2.248]): mod_ratio/3.3: chrome@example.com in /: RETR /public1/soft/tools/Total Commander 7.56a.zip
Oct 06 11:24:49 share proftpd[5599] share.sota-tv.com (10.255.2.248[10.255.2.248]): FTP session closed.
Oct 06 11:28:15 share proftpd[5600] share.sota-tv.com (10.255.2.231[10.255.2.231]): FTP session opened.
Oct 06 11:28:15 share proftpd[5600] share.sota-tv.com (10.255.2.231[10.255.2.231]): Preparing to chroot to directory '/FTP'
Oct 06 11:28:15 share proftpd[5600] share.sota-tv.com (10.255.2.231[10.255.2.231]): Ratio: opera@/nogroup 10.255.2.231[10.255.2.231]: -0/0 +0/0 (0 0 0 0) = 0/0.
Oct 06 11:28:15 share proftpd[5600] share.sota-tv.com (10.255.2.231[10.255.2.231]): ANON ftp: Login successful.
Oct 06 11:29:07 share proftpd[5601] share.sota-tv.com (10.255.2.231[10.255.2.231]): FTP session opened.

в чём может быть проблема??? если необходимы ещё каке-то логи, могу выложить....

Добавлено:
вот конфиг:

Include /etc/proftpd/modules.conf
UseIPv6                off
IdentLookups            off
ServerName            "share.sota-tv.com"
ServerType            standalone
DeferWelcome            on
MultilineRFC2228        on
DefaultServer            on
ShowSymlinks            on
TimeoutNoTransfer        600
TimeoutStalled            600
TimeoutIdle                300
DisplayLogin welcome.msg
DisplayChdir     .message true
ListOptions     "-l"
DenyFilter            \*.*/
DefaultRoot /FTP
DefaultRoot    ~
RequireValidShell        off
Port                21
UseFtpUsers on
ListOptions "-a"
<IfModule mod_dynmasq.c>
</IfModule>
MaxInstances            30
User                proftpd
Group                nogroup
Umask                022 022
AllowOverwrite            on
LogFormat default "%t %h %a %s %m %f %b %T \"%r"\"
ExtendedLog /var/log/proftpd/extended.log
TransferLog /var/log/proftpd/transfer.log
SystemLog /var/log/proftpd/system.log
AllowRetrieveRestart on
<IfModule mod_quotatab.c>
QuotaEngine on
</IfModule>
<IfModule mod_ratio.c>
Ratios on
</IfModule>
<IfModule mod_delay.c>
DelayEngine on
</IfModule>
<IfModule mod_ctrls.c>
ControlsEngine on
ControlsMaxClients 2
ControlsLog /var/log/proftpd/controls.log
ControlsInterval 5
ControlsSocket /var/run/proftpd/proftpd.sock
</IfModule>
<IfModule mod_ctrls_admin.c>
AdminControlsEngine on
</IfModule>
ServerIdent on "my ftp"
<Limit LOGIN>
DenyAll
AllowUser userftp
</Limit>
<Directory /FTP/upload>
<Limit WRITE>
AllowUser userftp
DenyAll
</Limit>
</Directory>
<Anonymous /FTP>
User            ftp
Group            nogroup
    UserAlias            anonymous ftp
RequireValidShell        off
MaxClients            20 "Sorry, max %m users -- try again later"
MaxClientsPerHost 3 "Too many connections..."
DisplayLogin        welcome.msg
DisplayChdir        .message
<Limit LOGIN>
AllowUser ftp
DenyAll
</Limit>
<Limit WRITE>
AllowUser userftp
DenyAll
</Limit>
<Directory *>
<Limit WRITE>
    DenyAll
</Limit>
</Directory>
</Anonymous>

Include /etc/proftpd/conf.d/

проблема актуальна....