» Установка и администрирование ProFTPD

Мдя. Ну пошёл по выше описанному пути просто в лоб.
Снёс порты, снёс профтпд, обновил порты, поставил заново профтпд и отдельно модуль эскуэль, дописал в конфиг.
В общем ругаться перестало.
Возможно что-то из сделаного лишнее.

Что-то не могу я никак оседлать ProFTPd.
Дано: ProFTPd 1.34 на Ubuntu 12.04.2 (x64), брандмауэр отсутствует.


Всё работает отлично, если заходить из-под браузеров. Видны все файлы и каталоги. Однако, если заходить из-под TCMD 8.01 - корень пуст. Если заходить из-под FileZilla 3.7.0.2 - ошибка:


Цитата:

Ошибка:    Соединение закрыто сервером
Ошибка:    Не могу получить список каталогов!

.


Где и что нужно подкрутить в ProFTPd?

reenoip
Почему вы уверены, что в проблема в сабже? Вы со скольких машин-клиентов проверили?

> брандмауэр отсутствует
Где?

> Ошибка: Соединение закрыто сервером
Зачем вы приводите лог столь выборочно? Дайте полностью.

ASE_DAG
0. Потому что на другие ftp-сервера эти же самые клиенты заходят нормально.
1. Попробовал с нескольких машин прежде, чем сообщать об этом всему миру.
2. Отсутствует - на Ubuntu.
3. Вот полный лог:
[more]
Код: Статус:    Соединяюсь с 192.168.1.1:21...
Статус:    Соединение установлено, ожидание приглашения...
Ответ:    220 ::ffff:192.168.1.1 FTP server ready
Команда:    USER username
Ответ:    331 Password required for username
Команда:    PASS ************
Ответ:    230 Anonymous access granted, restrictions apply
Команда:    SYST
Ответ:    215 UNIX Type: L8
Команда:    FEAT
Ответ:    211-Features:
Ответ:     LANG en-US.UTF-8;en-US*
Ответ:     MDTM
Ответ:     MFMT
Ответ:     TVFS
Ответ:     UTF8
Ответ:     MFF modify;UNIX.group;UNIX.mode;
Ответ:     MLST modify*;perm*;size*;type*;unique*;UNIX.group*;UNIX.mode*;UNIX.owner*;
Ответ:     REST STREAM
Ответ:     SIZE
Ответ:    211 End
Команда:    OPTS UTF8 ON
Ответ:    200 UTF8 set to on
Статус:    Соединение установлено
Статус:    Получение списка каталогов...
Команда:    PWD
Ответ:    257 "/" is the current directory
Команда:    TYPE I
Ответ:    200 Type set to I
Команда:    PORT 127,0,0,1,192,233
Ответ:    200 PORT command successful
Команда:    MLSD
Ошибка:    Соединение закрыто сервером
Ошибка:    Не могу получить список каталогов!

> Команда: MLSD
> Ошибка: Соединение закрыто сервером
> 0. Потому что на другие ftp-сервера эти же самые клиенты заходят нормально.
> 1. Попробовал с нескольких машин прежде, чем сообщать об этом всему миру.
А все-равно проблема, скорее всего, не в сервере, а в каком-то файрволле (причем level 7), который не пропускает MLSD. Внимательно изучите путь от клиента с серверу, может быть, найдете его. Ну или если поддержка MLSD вам не нужна, очевидно, можете ее вовсе отключить, однако это, как понимаете, не решение, а workaround.

reenoip
Как продвигается решение вопроса?

Если проблемный узел сходу не обнаруживается, очевидно, стоит отключить анонсирование поддержки MLSD сервером, даже если она нужна, чтобы проверить гипотезу.

ASE_DAG
пришлось сделать как указано здесь:

Цитата:

<IfModule mod_facts.c>
FactsAdvertise Off
</IfModule>

После этого FileZilla продолжает ругаться (не нашёл в нём настроек, связанных с включением/отключением поддержки MLSD), а вот TCMD, наконец-то, увидел содержимое ftp.

Чем плохо отключение MLSD при условии, что ftp-сервер используется исключительно в локальной сети, выхода в глобалку не имеет в принципе, и диверсий, вроде, ждать больше неоткуда?

Добавлено:
Кстати, большое спасибо за наводку!

reenoip
> FileZilla продолжает ругаться
Неясно вы излагаете. Если лог неидентичен предыдущему, то где он? Если идентичен, то почему вы явно это не сказали? (А лучше все-равно привести даже полностью совпадающий.)

> не нашёл в нём настроек, связанных с включением/отключением поддержки MLSD
Даже если в Файлзилле есть такие настройки, вам-то они зачем: вы сервер настраиваете, а не клиенты.

ASE_DAG
соврал - всё, и FileZilla теперь видит каталоги. Помог ребут сервера. Странно, я думал, что Ubuntu - не Windows, однако ребутить машину с Ubuntu, оказывается, нужно не реже, чем Windows...


Ладно, как бы там ни было, первый вопрос снят, доступ есть.
Остался последний - про "Чем плохо отключение MLSD?"

Добавлено:
Хм... Любопытно, кстати, что перезапуск службы почему-то не помог. Я-то перезапускал её несколько раз, поэтому и на ребут особо не надеялся.

[more] Стоит ProFTPd 1.3.3 на CentOS6.

Код:
ServerName "ProFTPD server"
ServerIdent on "FTP Server ready."
ServerAdmin root@localhost
ServerType standalone
DefaultServer on
VRootEngine off
DefaultRoot ~ !adm
AuthPAMConfig proftpd
AuthOrder mod_auth_pam.c* mod_auth_unix.c
UseReverseDNS off
Port 21
User nobody
Group nobody
MaxInstances 20
UseSendfile off
LogFormat default "%h %l %u %t \"%r\" %s %b"
LogFormat auth "%v [%P] %h %t \"%r\" %s"
LogFormat write "%h %l %u %t \"%r\" %s %b"
SystemLog /var/log/proftpd/proftpd.log
TransferLog /var/log/proftpd/transfer.log
ExtendedLog /var/log/proftpd/access.log WRITE,READ write
ExtendedLog /var/log/proftpd/auth.log AUTH auth
DebugLevel 9

<Global>
Umask 022
AllowOverwrite yes
<Limit ALL SITE_CHMOD>
AllowAll
</Limit>
</Global>

есть еще кто живой ? помогите с одним нюансом
надо к одной папке настроить двух юзеров с разных адресов разные права у них

голову уже себе сломал

sattan
Цитата:

голову уже себе сломал

Часом, не оно? Ссылка

живые есть. отлично. скажите - такая конструкция жизнеспособна ?

<Directory /hosting/services/ftp_adress/data/folder >
<Limit LOGIN>
Order allow,deny
Allow from network1/29
Allow from network2/28
Allow from network3/28
     Allow from ip1
    Denyall
</Limit>

<Limit READ DIRS PASV>
        AllowUser user1
</Limit>

<Limit STOR STOU>
        AllowUser user1
</Limit>

<Limit DELE>
        DenyUser user1
</Limit>
</Directory>

имеется ввиду - доступ к указанных сетей я правильно прописал или он "не сработает ?

sattan
Цитата:

такая конструкция жизнеспособна ?

На первый взгляд - да. Но проверить не на чем.
Так что практика - критерий истины

а еще такой вопрос - можно ли в proftpd пользователю прописать права на каждую папку с уникальными пермициями ?

к примеру вот так

/ - read/write
/test - read/write
/test/sources - read
/test/errors - read
/sources - read
/errors - read

подскажите пожалуйста кто знает

Что нужно прописать кроме DefaultRoot для авторизации локальных пользователей Ubuntu server 14.04?

Ubuntu Server 14.04.2 LTS x86 + ProFTPd 1.35. В каталоге '/home/my-ftp-folder' лежат файлы, к которым периодически клиенты обращаются ТОЛЬКО в режиме чтения. Всё работает прекрасно, но в логах после каждого обращения остаётся такая запись:


Цитата:

2015-09-11 12:47:03,572 my-ftp-server proftpd[9137] my-ftp-server (192.168.1.2[192.168.1.2]): FTP session opened.
2015-09-11 12:47:03,615 my-ftp-server proftpd[9137] my-ftp-server (192.168.1.2[192.168.1.2]): Preparing to chroot to directory '/home/my-ftp-folder'
2015-09-11 12:47:03,615 my-ftp-server proftpd[9137] my-ftp-server (192.168.1.2[192.168.1.2]): USER my-ftp-user: Login successful.
2015-09-11 12:47:03,637 my-ftp-server proftpd[9137] my-ftp-server (192.168.1.2[192.168.1.2]): ROOT PRIVS: unable to seteuid(): Operation not permitted
2015-09-11 12:47:03,637 my-ftp-server proftpd[9137] my-ftp-server (192.168.1.2[192.168.1.2]): ROOT PRIVS: unable to setegid(): Operation not permitted
2015-09-11 12:47:03,638 my-ftp-server proftpd[9137] my-ftp-server (192.168.1.2[192.168.1.2]): RELINQUISH PRIVS: unable to seteuid(PR_ROOT_UID): Operation not permitted
2015-09-11 12:47:03,638 my-ftp-server proftpd[9137] my-ftp-server (192.168.1.2[192.168.1.2]): FTP session closed.

То, что выделил болдом, можно как-то удалить? Понимаю, что не критично, особенно когда учётка "my-ftp-user" лишена практически всех прав, но у меня таких обращений тысячи в сутки, и хотелось бы хоть как-то снизить нагрузку на и без того нагруженный диск.

Добавлено:
Тут сказано, что "Resolved in 1.3.5a", но Ubuntu обновления в упор не видит...

Добавлено:
Кстати, у кого время в логах указывается неверно: в "/etc/proftpd.conf", после </Global> вставить это:


Цитата:

TimesGMT off
SetEnv TZ :/etc/localtime

reenoip

Цитата:

Preparing to chroot to directory '/home/my-ftp-folder

чтобы chroot-ить нужны привилегии рута, а FTP у тебя пашет не от рута, а от юзера и группы, которые не имеют этих прав.
Running ProFTPD as a Nonroot User
http://www.proftpd.org/docs/howto/Nonroot.html

http://www.proftpd.org/docs/faq/linked/faq-ch6.html

Код: 2. Surely running ProFTPD as non-root will help?

Running ProFTPD as a non-root user gives only a marginal security improvement on the normal case and adds some functional problems. Such as not being able to bind to ports 20 or 21, unless it's spawned from inetd.

ProFTPD takes a middle road in terms of security. It only uses root privileges where required and drops to the UID defined in the config file at all other times.

ipmanyak, ясно, благодарю! А где можно расшифровку лога посмотреть?


Цитата:

Tue Sep 15 15:01:53 2015 0 192.168.1.100 3551869 /home/my-ftp-folder/my-file.exe b _ o r my-ftp-user ftp 0 * c

Интересует то, что выделено мною красным цветом (не понимаю эти значения).