proftpd steckt die user nicht in jail.

[cloud]

Hallo ich bin neu hier an board, und habe mal eine frage an euch.

Und zwar hoste ich mehrere Gameserver, bis jetzt habe ich das nur für freunde getan die ich kenne.
Aber ich möchte auch nun unbekannten clans die gelegenheit geben einen gameserver zu bekommen.
Also wollte ich sie vom höherstehenden system ausschliesen und nur auf ihr /home verzeichniss beschränken.
also user test kann sich nur in /home/test bewegen.
Da ist mir als aller erstet proftpd eingefallen, hab es installiert und konfiguriert.
Doch ich glaube da hab ich was falsch gemacht.
Den zum test hab ich den user test angelegt, und der kann sich trotzdem noch in allen verzeichnissen frei bewegen.
Ich schicke hier mal die Config denn vllt hab ich da was falsch gemacht, und ihr könnt mir helfen.

#
# /etc/proftpd/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes reload proftpd after modifications.
# 

# Includes DSO modules
Include /etc/proftpd/modules.conf

# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
UseIPv6				on
# If set on you can experience a longer connection delay in many cases.
IdentLookups			off

ServerName			"Debian"
ServerType			standalone
DeferWelcome			off

MultilineRFC2228		on
DefaultServer			on
ShowSymlinks			on

TimeoutNoTransfer		600
TimeoutStalled			600
TimeoutIdle			1200

DisplayLogin                    welcome.msg
DisplayChdir               	.message true
ListOptions                	"-l"

DenyFilter			\*.*/

# Use this to jail all users in their homes 
[COLOR="Red"]<Global>[/COLOR] (das habe ich hinzugefügt hat aber nicht gebracht)
DefaultRoot			~
[COLOR="Red"]</Global>[/COLOR]
# Users require a valid shell listed in /etc/shells to login.
# Use this directive to release that constrain.
# RequireValidShell		on

# Port 21 is the standard FTP port.
Port				21

# In some cases you have to specify passive ports range to by-pass
# firewall limitations. Ephemeral ports can be used for that, but
# feel free to use a more narrow range.
# PassivePorts                  49152 65534

# If your host was NATted, this option is useful in order to
# allow passive tranfers to work. You have to use your public
# address and opening the passive ports used on your firewall as well.
# MasqueradeAddress		1.2.3.4

# This is useful for masquerading address with dynamic IPs:
# refresh any configured MasqueradeAddress directives every 8 hours
<IfModule mod_dynmasq.c>
# DynMasqRefresh 28800
</IfModule>

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances			30

# Set the user and group that the server normally runs at.
User				proftpd
Group				nogroup

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask				022  022
# Normally, we want files to be overwriteable.
AllowOverwrite			on

# Uncomment this if you are using NIS or LDAP via NSS to retrieve passwords:
# PersistentPasswd		off

# This is required to use both PAM-based authentication and local passwords
# AuthOrder			mod_auth_pam.c* mod_auth_unix.c

# Be warned: use of this directive impacts CPU average load!
# Uncomment this if you like to see progress and transfer rate with ftpwho
# in downloads. That is not needed for uploads rates.
#
# UseSendFile			off

TransferLog /var/log/proftpd/xferlog
SystemLog   /var/log/proftpd/proftpd.log

<IfModule mod_quotatab.c>
QuotaEngine off
</IfModule>

<IfModule mod_ratio.c>
Ratios off
</IfModule>


# Delay engine reduces impact of the so-called Timing Attack described in
# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
# It is on by default. 
<IfModule mod_delay.c>
DelayEngine on
</IfModule>

<IfModule mod_ctrls.c>
ControlsEngine        off
ControlsMaxClients    2
ControlsLog           /var/log/proftpd/controls.log
ControlsInterval      5
ControlsSocket        /var/run/proftpd/proftpd.sock
</IfModule>

<IfModule mod_ctrls_admin.c>
AdminControlsEngine off
</IfModule>

#
# Alternative authentication frameworks
#
#Include /etc/proftpd/ldap.conf
#Include /etc/proftpd/sql.conf

#
# This is used for FTPS connections
#
#Include /etc/proftpd/tls.conf

# A basic anonymous configuration, no upload directories.

# <Anonymous ~ftp>
#   User				ftp
#   Group				nogroup
#   # We want clients to be able to login with "anonymous" as well as "ftp"
#   UserAlias			anonymous ftp
#   # Cosmetic changes, all files belongs to ftp user
#   DirFakeUser	on ftp
#   DirFakeGroup on ftp
# 
#   RequireValidShell		off
# 
#   # Limit the maximum number of anonymous logins
#   MaxClients			10
# 
#   # We want 'welcome.msg' displayed at login, and '.message' displayed
#   # in each newly chdired directory.
#   DisplayLogin			welcome.msg
#   DisplayChdir		.message
# 
#   # Limit WRITE everywhere in the anonymous chroot
#   <Directory *>
#     <Limit WRITE>
#       DenyAll
#     </Limit>
#   </Directory>
# 
#   # Uncomment this if you're brave.
#   # <Directory incoming>
#   #   # Umask 022 is a good standard umask to prevent new files and dirs
#   #   # (second parm) from being group and world writable.
#   #   Umask				022  022
#   #            <Limit READ WRITE>
#   #            DenyAll
#   #            </Limit>
#   #            <Limit STOR>
#   #            AllowAll
#   #            </Limit>
#   # </Directory>
# 
# </Anonymous>

Soweit so gut, hoffe ihr könnt mir helfen.

Mfg Cloud

 

[cloud]

SRy for Dubble Post.
Habe das Problem gefunden aber noch nicht behoben,
Und zwar können sich meine user nur per sftp einlogen also port 22
und wenn ich sie versuche per 21 einzuloggen,kommt immer acces denied
Wie kannich das umstellen?

 

[Spin-Doc]

Das liegt wohl daran aus auf Port 22 der SSH Daemon lauscht, auf port 21 aber proftpd. Sprich dein proftpd ist falsch konfiguriert und deine Kunden haben SSH Zugriff auf den Server.

 

[cloud]

das heisst ich muss folgende config ändern

Port 21 is the standard FTP port.
Port 21

in

Port 21 is the standard FTP port.
Port 22

oder seh ich da was falsch?
Wenn ja was muss ich ändern?
anhaltspunkte oder ne lösung?

Mfg Cloud

 

[Spin-Doc]

Du solltest dich erstmal informieren was der Unterschied zwischen FTP, SSH, SFTP und FTPS ist. Eine Lektüre von http://openbook.galileocomputing.de/linux/ wäre sicher auch nicht verkehrt.

 

[cloud]

oha nen langes open book
Werde es mir auf jeden fall mal durchlesen, dann lern ich was dazu,
jedoch bis ich das durchgelesen habe, bin ich locker mal n paar tage älter.
Und da ich wenig zeit habe, Arbeit , Sohn , Usw. werde ich dazu einige tage brauchen.
Kannst du mir nicht mal annähernd nen Tipp geben wie ich das alles handle, damit es funktioniert?
Wäre mir schon sehr wichtig.
Keine angst, bin nicht unerfahren oder so, hatte nur noch nie wirklich daran gedacht das ich das erweitern will.
Und wenn noch dazu kommt, das ist sicher ne Spam , Viren schleuder.
kann ich euch versichern das ich ihn höchstmöglich sicher gemacht habe, damit dies grade nicht der fall ist.
habe nicht erst seit gestern linux, und nur weil man mal was nicht hinbekommt, ist man nicht gleich eine potentielle gefahr.

Also würde ich dir echt danken wenn du mir mal nen kleinen anstupser in die richtige richtung geben kannst, damit ich das schnellst möglich beheben kann.

Danke dir im Vorraus.

Cloud.

 

[siradlib]

Was sagt denn das Logfile von ProFTPd?

 

[D0sed]

Füg mal

<Directory /var/www/>
<Limit ALL>
AllowUser admin
DenyAll
</Limit>
</Directory>

unten dran.

Musst du dann halt noch anpassen.

/var/www/ = Der Pfad, in den du den user einsperren willst
AllowUser admin = der User, den du einsperren willst, in diesem fall admin.

 

[DjTom-i]

<Global> (das habe ich hinzugefügt hat aber nicht gebracht)
DefaultRoot			~
</Global>

Mit Global habe ich es noch nie gesetzt...

DefaultRoot ~

Setz es mal so unter alles und restarte den Ftp mal.

 

[icemanns]

Ändere das

# Users require a valid shell listed in /etc/shells to login.
# Use this directive to release that constrain.
# RequireValidShell on

mal zu das

# Users require a valid shell listed in /etc/shells to login.
# Use this directive to release that constrain.
RequireValidShell off

Und wie fügst du deine User hinzu?

So mach ich das:

useradd -d VERZEICHNIS -s /bin/false USERNAME

Und bei mir funktioniert alles, natürlich darf das hier

# Use this to jail all users in their homes
DefaultRoot ~

nicht anders sein

anschließen proftpd restarten /etc/init.d/proftpd restart

und schon sollte alles laufen zumindest funktioniert das bei mir immer so^^