Forum Debian Users Gang

farmer · 2011-06-22 08:48:15

Witam! Moj pierwszy post na forum więc wypadało by się przywitać! A więc siemanko!
Do rzeczy:
Postawiłem sobie serwer ProFTPD na "Squeezem", gdy chcę wejść na serwer z Windowsowego Exploratatora (poleceniem Uruchom: \\192.168.2.1) wyskakuje okienko proszące o nazwę użytkownika i jego hasło. Mimo wpisywania poprawnych danych - wyskakuje błąd logowania: dane niepoprawne.
Problemem jest również to, że niektóre przeglądarki pracują dobrze z ProFTPD gdy inne wogóle nie chcą się logować.
Serwer posiada dwie karty sieciowe (LAN i WAN) i FTP działa w trybie aktywnym. Przykładowo programem FilleZilla mogę się logować zawsze (z WAN'u jak i LAN'u), natomiast z przeglądarki Firefox logowanie mozliwe jest tylko z LAN'u, a Internet Explorer to działa już jak chce.

Mam problem, ślęcze już ze dwa dni nad tym i nic. Plik konfiguracyjny jest praktycznie nie zmieniony (zmodyfikuje go dopiero gdy zniknie problem logowania).

Kod:

# /etc/proftpd/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes reload proftpd after modifications.

# Includes DSO modules
Include /etc/proftpd/modules.conf

# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
#UseIPv6                         on
# If set on you can experience a longer connection delay in many cases.
UseReverseDNS                   off
IdentLookups                    off
ServerName                      "+++ Debian +++"
#Ukrycie wersji serwera
ServerIdent                     on "=== FTP ==="
ServerType                      standalone
DeferWelcome                    off

MultilineRFC2228                on
DefaultServer                   on
ShowSymlinks                    on
TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

DisplayLogin                    welcome.msg
DisplayChdir                    .message true
ListOptions                     "-l"

DenyFilter                      \*.*/

# Use this to jail all users in their homes
#DefaultRoot                    ~

# Users require a valid shell listed in /etc/shells to login.
# Use this directive to release that constrain.
RequireValidShell               on
DelayEngine                     off
# Port 21 is the standard FTP port.
Port                            21
#PassivePorts                    49152 65534

# Set the user and group that the server normally runs at.
User                            proftpd
Group                           nogroup
# (second parm) from being group and world writable.
Umask                           022  022
# Normally, we want files to be overwriteable.
AllowOverwrite                  on
TransferLog /var/log/proftpd/xferlog
SystemLog   /var/log/proftpd/proftpd.log

<IfModule mod_facts.c>
FactsAdvertise off
</IfModule>

<IfModule mod_quotatab.c>
QuotaEngine off
<IfModule mod_ratio.c>
Ratios off
</IfModule>


# Delay engine reduces impact of the so-called Timing Attack described in
# http://security.lss.hr/index.php?page=details&ID=LSS-2004-10-02
# It is on by default.
<IfModule mod_delay.c>
DelayEngine on
</IfModule>

<IfModule mod_ctrls.c>
ControlsEngine        off
ControlsMaxClients    2
ControlsLog           /var/log/proftpd/controls.log
ControlsInterval      5
ControlsSocket        /var/run/proftpd/proftpd.sock
</IfModule>

<IfModule mod_ctrls_admin.c>
AdminControlsEngine off

</IfModule>

#
# Alternative authentication frameworks
#
#Include /etc/proftpd/ldap.conf
#Include /etc/proftpd/sql.conf

#
# This is used for FTPS connections
#
#Include /etc/proftpd/tls.conf

# A basic anonymous configuration, no upload directories.

# <Anonymous ~ftp>
#   User                                ftp
#   Group                               nogroup
#   # We want clients to be able to login with "anonymous" as well as "ftp"
#   UserAlias                   anonymous ftp
#   # Cosmetic changes, all files belongs to ftp user
#   DirFakeUser on ftp

#   RequireValidShell           off
#
#   # Limit the maximum number of anonymous logins
#   MaxClients                  10
#
#   # We want 'welcome.msg' displayed at login, and '.message' displayed
#   # in each newly chdired directory.
#   DisplayLogin                        welcome.msg
#   DisplayChdir                .message
#
#   # Limit WRITE everywhere in the anonymous chroot
#   <Directory *>
#     <Limit WRITE>
#       DenyAll
#     </Limit>
#   </Directory>
#
#   # Uncomment this if you're brave.
#   # <Directory incoming>
#   #   # Umask 022 is a good standard umask to prevent new files and dirs
#   #   # (second parm) from being group and world writable.
#   #   Umask                           022  022
#   #            <Limit READ WRITE>
#   #            DenyAll
#   #            </Limit>
#   #            <Limit STOR>
#   #            AllowAll
#   #            </Limit>
#   # </Directory>
#
# </Anonymous>

Dodatkowo daje regułki firewalla:

Kod:

#!/bin/sh

#eth0 - LAN
#eth1 - WAN

#CZYSZCZENIE STARYCH REGUL
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X

# USTAWIENIE DOMYSLNEJ POLITYKI NA DROP
iptables -P INPUT DROP

#WLACZENIE SOURCE NAT (SNAT) ZMIENIC IP 1.2.3.4 - na zewnetrzne IP
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to [b]XX[/b].[b]XX[/b].149.42

# AKCEPTOWANIE WSZYSTKICH PRZYCHODZCYCH POLACZEN OPROCZ eth1 (WAN)
iptables -A INPUT ! -i eth1 -j ACCEPT

# KONTROLA STANU PAKIETU, PRZEPUSZCZENIE PAKIETOW ISTNIEJACYCH POLACZEN
# (KTORE WYSZLY Z eth0)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#WLACZENIE DOSTEPU DO SERWISOW
SERVICES="http 21 5832 80 8080 143"
for x in ${SERVICES}
do
iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT
done

#UDAWANIE ZE NIE MA URUCHOMIONYCH ZADNYCH SERWISOW i BLOKOWANIE PINGOW z WAN'u
iptables -A INPUT -p tcp -i eth1 -j REJECT --reject-with tcp-reset
iptables -A INPUT -p udp -i eth1 -j REJECT --reject-with icmp-port-unreachable

#WYLACZENIE ECN
echo "0" > /proc/sys/net/ipv4/tcp_ecn

#ZABEZPIECZENIE PRZED PODSZYWANIEM SIE - SPOOFING
INTERFACES="lo eth0 eth1"
for x in ${INTERFACES}
do
echo "1" > /proc/sys/net/ipv4/conf/${x}/rp_filter
done

#WLACZENIE FORWARDOWANIA
echo "1" > /proc/sys/net/ipv4/ip_forward

Proszę pomóżcie, może miał już ktoś podobny problem.

Jacekalex · 2011-06-22 09:07:19

Proftpd jest najtrudniejszym w konfiguracji serwerem ftp, jaki widziałem.
Ma kosmiczne możliwości, ale nic za darmo.

Radzilbym zainteresować się Pure-ftpd,jest 25 razy prostszy, zauważalnie bezpieczniejszy, i dziala z nim 90% klientów ftp, jakie widziałem , nawet z szyfrowaniem, w Proftpd nigdy nie udało mi się uzyskać takiej sprawności, jak w Pure-Ftpd.

Sznurki:
Podstawowa konfiguracja, nie sprawdzałem:
http://www.debian-administration.org/articles/383

Suport Mysql, i Quota - wg tego przepisu zawsze stawiam Pure - działa bardzo dobrze:
http://www.howtoforge.com/pureftpd_mysql_virtual_hosting

Skaner antywirusowy, i dowolne operacje na wgrywanych plikach:
http://www.howtoforge.com/how-to-integrate-clamav-i … -debian-lenny

Szyfrowanie TLS do serwera Pure-Ftpd:
http://www.howtoforge.com/how-to-configure-pureftpd … -debian-lenny

Czas całej instalacji i konfiguracji w granicach pół godziny - do 45 minut, max godzinka, jak ktoś to robi 1 raz.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-06-22 13:57:20)

ba10 · 2011-06-22 09:42:31

farmer napisał(-a):
Witam! Moj pierwszy post na forum więc wypadało by się przywitać! A więc siemanko!
Do rzeczy:
Postawiłem sobie serwer ProFTPD na "Squeezem", gdy chcę wejść na serwer z Windowsowego Exploratatora (poleceniem Uruchom: \\192.168.2.1) wyskakuje okienko proszące o nazwę użytkownika i jego hasło. Mimo wpisywania poprawnych danych - wyskakuje błąd logowania: dane niepoprawne.
Problemem jest również to, że niektóre przeglądarki pracują dobrze z ProFTPD gdy inne wogóle nie chcą się logować.
Serwer posiada dwie karty sieciowe (LAN i WAN) i FTP działa w trybie aktywnym. Przykładowo programem FilleZilla mogę się logować zawsze (z WAN'u jak i LAN'u), natomiast z przeglądarki Firefox logowanie mozliwe jest tylko z LAN'u, a Internet Explorer to działa już jak chce.

Mam problem, ślęcze już ze dwa dni nad tym i nic. Plik konfiguracyjny jest praktycznie nie zmieniony (zmodyfikuje go dopiero gdy zniknie problem logowania).

Proszę pomóżcie, może miał już ktoś podobny problem.

Czyli wszystko jest w najlepszym porządku :)
Eksplorator windows słuzy do przeglądania plików na dysku. :)
Przeglądarka internetowa do przeglądania stron www. :)
Oby dwa powyższe programy poprostu maja dodaną możliwość klienta ftp co jak widzisz działa róźnie.
Klient ftp tutaj filezilla jest programem zbudowanym do obsługi ftp i jak sam widzisz działa wyśmienicie.
Jacekalex pisał o zmianie serwera ftp np na Pure-ftpd jeśli ftp nie musi być jakąś armata, a tylko downloadu i uploadowania plików to można jeszcze lżejszy serwer zainstalować czyli vsftpd.
Co do firefoxa to zainstaluj plugin klienta ftp np. fireftp
A i jeszcze mozesz odblokować port 20 w swoich regułach iptables.
Ewentualnie pobawić się w tryb pasywny i odhaszować linijke PassivePorts i przepuścić na iptables.

Ostatnio edytowany przez ba10 (2011-06-22 10:05:30)

Jacekalex · 2011-06-22 10:34:46

Ja do Pure otwierałem tylko porty 20-21 i wszystko chodziło, czy po tls, czy zwykły ftp.
A łączyłem się z różnych dziwnych miejsc w mieście, głównie za pomocą winScp portable.
Było to w czasie, kiedy w Ubuntu był jakiś błąd w serwerze ssh, nie mogłem sie zalogować inaczej, jak z localhosta.
Po paru dniach wyczaiłem, ze bład był w profilu apparmora do ssh, i sprawa się wyjaśniła.
Ale uwazam, że prostszego w konfiguracji serwera, niż Pure, w zakresie chroot, tls, clamav, na Debianie po prostu nie ma.
Vstftpd ma trochę trudniejszą konfigurację od Pure-ftpd, choć 5 razy prostszą od Proftpd.

Poza tym Pure można puścić z konta usera, na porcie powyżej 1024, i mamy dodatkowa linię obrony: domyślnie serwer ftp działa z uprawnieniami roota, i jest poważną dziurą w bezpieczeństwie systemu.
A idąc z uprawnieniami mocno ograniczonymi, jakiegoś usera z /bin/false - dziura jest X razy mniejsza.
Za to uprawnienia do rożnych folderów możemy zrobić przez ACL, i serwer ftp nie musi isć jako root, żeby mieć do nich dostęp.
A do ACL jest np: http://packages.debian.org/stable/gnome/eiciel

Poza tym mała lektura:
Pure-Ftpd:
http://www.gentoo.org/doc/pl/security/security-hand … =10#doc_chap7
Vsftpd:
http://www.gentoo.org/doc/pl/security/security-hand … =10#doc_chap8
Proftpd:
http://www.gentoo.org/doc/pl/security/security-hand … =10#doc_chap6

Dlaczego szyfrowanie - ogólnie o FTP:
http://www.gentoo.org/doc/pl/security/security-hand … =10#doc_chap4

Edyta:
Gentoo, autoryzacja Unix, instalacja trwala 15 minut (w tym zmiany w ebuildzie, -konfiguracja polskiego języka, i przekonwertowanie w źródłach plików językowych do utf8 (domyślnie są w iso-8859-2 ), oraz dodanie opcji --with-nonroot do konfiguracji :

Kod:

telnet box 21
Trying 127.0.0.1...
Connected to box.
Escape character is '^]'.
220---------- Witaj na Pure-FTPd [TLS] ----------
220-Jesteś 1 użytkownikiem z 30 możliwych
220-Lokalny czas: 11:17. Port serwera: 21.
220-To jest prywatny system - Bez anonimowych logowań
220 Zostaniesz rozłączony po 15 minutach nieaktywności.

W tym kompilacja:

Kod:

genlop -ti pure-ftpd
 * net-ftp/pure-ftpd

     Wed Jun 22 10:43:50 2011 >>> net-ftp/pure-ftpd-1.0.32
       merge time: 44 seconds.

Sznurki:
http://en.gentoo-wiki.com/wiki/Pure-ftpd
http://download.pureftpd.org/pub/pure-ftpd/doc/README

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2011-08-08 13:06:28)

azhag · 2011-06-22 14:54:09

Jacekalex napisał(-a):
domyślnie serwer ftp działa z uprawnieniami roota

Jestem prawie pewien, że w Debianie z uprawnieniami użytkownika ftp.

Jacekalex · 2011-06-22 15:11:51

azhag napisał(-a):
Jacekalex napisał(-a):
domyślnie serwer ftp działa z uprawnieniami roota
Jestem prawie pewien, że w Debianie z uprawnieniami użytkownika ftp.

Naprawdę? który serwer masz na myśli? - chętnie się z nim zaprzyjaźnię :P

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-06-22 15:12:19)

milyges · 2011-06-22 18:15:44

Ludzie, przecież \\192.168.2.1 to samba?
ftp://192.168.2.1 w eksploratorze to jest FTP ;>

azhag · 2011-06-22 18:29:50

Jacekalex napisał(-a):
azhag napisał(-a):
Jacekalex napisał(-a):
domyślnie serwer ftp działa z uprawnieniami roota
Jestem prawie pewien, że w Debianie z uprawnieniami użytkownika ftp.
Naprawdę? który serwer masz na myśli? - chętnie się z nim zaprzyjaźnię :P

Choćby wymienione proftpd czy vsftpd:

Kod:

root@laptop ~ # ps u -C proftpd
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
proftpd   6430  0.0  0.6   9796  1684 ?        Ss   18:25   0:00 proftpd: (accepting connections)

I może się pomyliłem co do nazwy użytkownika, to ale nadal nie jest to root. ;)

Dopisek:
milyges: :D

Ostatnio edytowany przez azhag (2011-06-22 18:35:27)

Jacekalex · 2011-06-23 04:26:55

Dzięki, obaczym.
:D

Ostatnio edytowany przez Jacekalex (2011-06-23 04:27:15)

Forum Debian Users Gang

Ogłoszenie

#1 2011-06-22 08:48:15

farmer - Użytkownik

Windows nie współpracuje z ProFTPD

Kod:

Kod:

#2 2011-06-22 09:07:19

Jacekalex - Podobno człowiek...;)

Re: Windows nie współpracuje z ProFTPD

#3 2011-06-22 09:42:31

ba10 - Członek DUG

Re: Windows nie współpracuje z ProFTPD

farmer napisał(-a):

#4 2011-06-22 10:34:46

Jacekalex - Podobno człowiek...;)

Re: Windows nie współpracuje z ProFTPD

Kod:

Kod:

#5 2011-06-22 14:54:09

azhag - Admin łajza

Re: Windows nie współpracuje z ProFTPD

Jacekalex napisał(-a):

#6 2011-06-22 15:11:51

Jacekalex - Podobno człowiek...;)

Re: Windows nie współpracuje z ProFTPD

azhag napisał(-a):

Jacekalex napisał(-a):

#7 2011-06-22 18:15:44

milyges - inż.

Re: Windows nie współpracuje z ProFTPD

#8 2011-06-22 18:29:50

azhag - Admin łajza

Re: Windows nie współpracuje z ProFTPD

Jacekalex napisał(-a):

azhag napisał(-a):

Jacekalex napisał(-a):

Kod:

#9 2011-06-23 04:26:55

Jacekalex - Podobno człowiek...;)

Re: Windows nie współpracuje z ProFTPD

Stopka forum