Forum Debian Users Gang

sqrtek · 2012-07-24 21:18:42

Mam takie pytanie, czy da sie jakos skonfigurowac serwer proftpd aby sesja tls/ssl byla uruchamiania wylacznie dla wybranego uzytkownika?
Powiedzmy ze chce aby uzytkownik z pelnymi prawami uruchamial sie poprzez sesje tls/ssl a goscie mieli dostep swobodny bez tsl/ssl.
W tej chwili mam skonfigurowanego proftpd z sesja tls/ssl dla kazdego uzytkownika.

Jacekalex · 2012-07-24 21:30:25

Nie, ta opcja jest tylko dostępna dla całego serwera, albo wcale.
Mozeesz ewentualnie puścić drugi serwer z opcję tylko tls na innym portach 989 - 990, i innym typem autoryzacji, dla uprzywilejowanych pacjentów.
Względnie, TSL tylko dla autoryzacji, transfer nie, w rezultacie goście nie przechodząc autoryzacji, nie włażą na kanał szyfrowany.

RTFM:

Kod:

 egrep 'ftps' /etc/services

Choć i tak lepsze są ssh i sftp

sqrtek · 2012-07-24 21:43:44

Co masz na myśli mówiąc że lepsze są ssh i sftp?

Edit://
Udało mi się wyczytać w dokumentacji i wykonałem niezaszyfrowaną sesję dla anonymous, a zaszyfrowaną sesję dla "zweryfikowanych" użytkowników.
Nie wiem czy to tak może wyglądać ale stworzyłem Vhosta w <IfModule mod_tls.c> dodając do tego opcję: TLSoptions AllowPerUser, a w sekcji z konfiguracją użytkownika dodałem: TLSRequired off.
Sam nie wiem czy to tak powinno wyglądać ale działa :)

Ostatnio edytowany przez sqrtek (2012-07-24 22:32:08)

yossarian · 2012-07-24 22:26:41

Co masz na myśli mówiąc że lepsze są ssh i sftp?

Zapewne bezpieczeństwo.

sqrtek · 2012-07-24 22:36:29

Można zamknąć temat :)

Ostatnio edytowany przez sqrtek (2012-07-24 23:55:41)

Jacekalex · 2012-07-25 00:07:13

Gratuluję, zapomniałem, że w Proftpd da się ustawić kilka VIrtualhostów na jednym adresie i porcie, i każdemu zrobić inną konfigurację.

Co do ssh i sftp, dlaczego lepsze?
Spróbuj w ftp ustawić uwierzytelnienie kluczem dsa/rsa/ecdsa to pogadamy o tym, dlaczego.
I spróbuj zamknąć ftp w jednym porcie, żeby nie potrzebował portu ftp-data, i w trybie pasywnym XXX innych portów.
W ssh i realizowanym w ramach ssh protokole sftp masz tylko jeden port komunikacyjny.

I to wystarcza do: transferu plików, tunelu tcp, zdalnej powłoki, dodatkowo potrafi przeskakiwać proxy http.
Który serwer ftp takie drobiazgi potrafi?

Ostatnio edytowany przez Jacekalex (2012-07-25 00:08:36)

sqrtek · 2012-07-26 00:12:54

@jacekalex Dzięki za odpowiedź :)

Tak w ogóle to jak poprawnie skonfigurować te sFTP w proftpd?

Kierowałem się tym poradnikiem: http://www.ehow.com/how_12096427_configure-proftpd-sftp.html
Ale czy do sFTP trzeba najpierw skonfigurować SSL/TSL? Czy to jest "uzależnione" od Siebie do poprawnego funkcjonowania?

Ostatnio edytowany przez sqrtek (2012-07-26 00:14:06)

Jacekalex · 2012-07-26 00:36:22

Proftpd i sftp, to ciężkie nieporozumienie, choć podobno działa.
Proftpd miał częste wpadki bezpieczeństwa, wlącznie z trojanem trojanem zaszytym w jednej z wersji.
Jeśli koniecznie chcesz stawiać sftp, to ja stawialbym to na sewerze ssh, wtedy masz bezproblemową autoryzację kluczmi kryptograficznymi, i znacznie większe bezpieczeństwo, w dodatku wszystkie dziuy w ssh są w Debianie łatane blyskawicznie, poważne luki nawet w ciagu jednego/dwóch dni.

osobiście nigdy sftp w proftpd nie kondigurowalem, lepiej wziąlbym pure-ftpd w trybie TSL only.
Konfguracja pure jest banalnie prosta, a jest to najbezpieczniejszy serwer z trójki Proftpd, PureFtpd i Vsftpd.

A tu conieco o sftp w ssh:
http://www.howtoforge.com/restricting-users-to-sftp … ebian-squeeze

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2012-07-26 00:40:24)

sqrtek · 2012-07-26 17:57:27

Dzięki :) a teraz postawiłem sobie serwer ssh(openssh), i mam problem następujący.. robiłem wszystko wg. tego poradnika: http://sieciwpigulce.prv.pl/?p=63
i po skonfigurowaniu folderu chroota itd. chcąc się zalogować na serwer, dostaje komunikat: Connection Closed. Nie wiem czemu ale to przez tego chroota tak mi się wydaje jest spowodowane. Bo jeśli zaloguję się innym użytkownikiem który ma powłokę normalną Bash, to wszystko działa jak należy.

Wszystko ustawione tak jak jest wg. tego poradnika i nie działa, próbowałem reinstall i od nowa wszystko ale to samo.. Warto dodać że rssh mi działał dopóki tego chroota nie zrobiłem tym skryptem..

w /etc/passwd oraz w /home/chroot/etc/passwd zmienione na:

nazwa:x:1006:1006::/home/chroot/home/nazwa:/usr/bin/rssh

Ostatnio edytowany przez sqrtek (2012-07-26 18:04:12)

RadekD · 2012-07-26 18:47:52

Jeśli to serwer dla Ciebie, to IMO nie ma sensu bawić się w chroot. Zablokuj logowanie jako root, wyłącz możliwość logowania hasłem (zostaw tylko wymianę kluczy), ewentualnie zmień port i będziesz miał bezpieczne i wygodne środowisko pracy.
Poza tym, jeśli user może hulać i rozrabiać po całym systemie, to masz większy problem niż konfiguracja ssh ;)

Edit:
jak już ogarnisz sam serwer, to polecam przeczytać jeszcze to:
http://jakilinux.org/uncategorized/sztuczki-z-ssh/
http://jakilinux.org/aplikacje/sztuczki-z-ssh-2-tunele/
np pozwala to korzystać z całego Internetu z sieci korporacyjnej. To najprzydatniejsza dla mnie funkcja ssh ;)

Ostatnio edytowany przez RadekD (2012-07-26 18:52:52)

Jacekalex · 2012-07-26 18:51:14

Tenporadknik jest niewiele wart moim zdaniem.

Ja ostatnio w ssh załatwiam to następującym wpisem w sshd_config:

Kod:

Match group sftpgroup
    ChrootDirectory %h
    GatewayPorts no
    X11Forwarding no
    ForceCommand internal-sftp
    AllowTcpForwarding no
    PermitTunnel no

I działa.
Co prawda mialem kłopot z ssh, który nie chcial wpuszczać userów, ale wystarczyło zahashować jedną funkcję w żródłach - plik sessions.c (w przyszłosci zamierzam ją poprawić, ale na razie mam ważniejsze sprawy na głowie), przekompilować ssh, i chodzi.
Ale to chyba raczej błąd w Gentowym ssh.

Rezultat dla biedaczka dodanego do sftpgroup wyglada tak:

Kod:

ssh pies@localhost
This service allows sftp connections only.
Connection to localhost closed.

Kod:

sftp pies@localhost
Connected to localhost.
sftp> cd /etc/
Couldn't canonicalise: No such file or directory
sftp> ls /usr/bin/sudo
Couldn't stat remote file: No such file or directory
Can't ls: "/usr/bin/sudo" not found
sftp>

:DDD

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-07-26 19:06:56)

sqrtek · 2012-07-26 20:10:27

@RadekD
Dzięki za linki, dodałem sobie je do zakładek, i w najbliższym czasie przeczytam.

@Jacekalex
Hmm usunąłem tego rssh całkowicie, i skonfigurowałem sshd_config tak jak dałeś, wyskakiwał mi błąd przy dodanym " PermitTunnel no " więc też usunąłem.
Natchomiast jak reszte zostawiłem to wyskakuje błąd:

Kod:

Write failed: Broken pipe
Couldn't read packet: Connection reset by peer

oczywiśćie ten błąd jest przy logowaniu. Zmieniłem uprawnienia do folderu głównego użytkownika, aby był właścicielem, ale to nie pomaga.

Ostatnio edytowany przez sqrtek (2012-07-26 20:12:42)

Jacekalex · 2012-07-26 20:17:10

A co w logach na ten temat? jakieś komunikaty?

Poza tym żeby wejsć przez ssh do chroota - w tym chroocie musi być aktywna powłoka.

Można ją zrobić jakimś skryptem albo najwygodniej jailkitem, bylo o tym na forum.
Sznurek: http://forum.dug.net.pl/viewtopic.php?pid=169782

sqrtek · 2012-07-26 20:25:45

Kod:

Jul 26 20:23:15 x sshd[2719]: fatal: bad ownership or modes for chroot directory "/home/guest"
Jul 26 20:23:15 x sshd[2713]: pam_unix(sshd:session): session closed for user guest

Jacekalex · 2012-07-26 20:32:43

To samo, co u mnie.
Czyli to jednak chyba nie jest bląd, albo nie tylko Gentowy błąd.

Kod:

    /*if (st.st_uid != 0 || (st.st_mode & 022) != 0)
            fatal("bad ownership or modes for chroot "
                "directory %s\"%s\"", 
                cp == NULL ? "" : "component ", component); */

Wyhashowałem tą funkcję, źródla ssh, plik session.c linie (u mnie ) 1452 - 1455.
Teoretycznie można by wywalić st.st_uid != 0 || - ale ja wolałbym, zeby sprawdzał, czy pacjent jest właścicielem folderu, do którego wlaźi, albo wypad.

Także troche to potrwa.
;)

Bez żadej kompilacji i tej zmiany można się chrootować do foderu, którego wlaścicielem jest root, czyli np do /home, i tylko root może w nim zapisać cokolwiek.
Ale można folder usera zrobić w w /home/foder/user, chrootować do /home/folder i będzie wilk syty i owca cała.

Ostatnio edytowany przez Jacekalex (2012-07-26 20:44:38)

sqrtek · 2012-07-26 20:40:10

Sorki za moją niewiedzę ale gdzie jest ten plik session.c?

sqrtek · 2012-07-26 21:06:31

Całkowicie spieprzyłem sprawę.. wkurzyłem się i chciałem od nowa zainstalować openssh-server, więc dałem apt-get remove openssh-server.. ale do tego usunąłem cały folder ssh w etc.. i teraz to próbowałem dpkg-reconfigure debconf, ale sam już nie wiem co zrobić po czymś takim.. :/

logi z terminala:

Kod:

Konfigurowanie openssh-server (1:5.5p1-6+squeeze2) ...
/var/lib/dpkg/info/openssh-server.postinst: 453: cannot create /etc/ssh/sshd_config: Directory nonexistent
dpkg: błąd przetwarzania openssh-server (--configure):
 podproces zainstalowany skrypt post-installation zwrócił kod błędu 2
configured to not write apport reports
                                      Wystąpiły błędy podczas przetwarzania:
 openssh-server
E: Sub-process /usr/bin/dpkg returned an error code (1)
root@s3ba-host:/home/d3s# dpkg-reconfigure debconf
root@s3ba-host:/home/d3s# apt-get install openssh-server
Czytanie list pakietów... Gotowe
Budowanie drzewa zależności       
Odczyt informacji o stanie... Gotowe
openssh-server jest już w najnowszej wersji.
0 aktualizowanych, 0 nowo instalowanych, 0 usuwanych i 0 nieaktualizowanych.
1 nie w pełni zainstalowanych lub usuniętych.
Po tej operacji zostanie dodatkowo użyte 0 B miejsca na dysku.
Kontynuować [T/n]? T
Konfigurowanie openssh-server (1:5.5p1-6+squeeze2) ...
/var/lib/dpkg/info/openssh-server.postinst: 453: cannot create /etc/ssh/sshd_config: Directory nonexistent
dpkg: błąd przetwarzania openssh-server (--configure):
 podproces zainstalowany skrypt post-installation zwrócił kod błędu 2
configured to not write apport reports
                                      Wystąpiły błędy podczas przetwarzania:
 openssh-server
E: Sub-process /usr/bin/dpkg returned an error code (1)

Nie sądziłem że tak namieszam se z tym ssh.. Pierwszy raz mi się takie coś zdarzyło..

Ostatnio edytowany przez sqrtek (2012-07-26 21:12:06)

ArnVaker · 2012-07-26 21:16:56

Kod:

mkdir /etc/ssh

EDIT: W sumie możesz usunąć pakiety ssh, a potem zainstalować jeszcze raz… Sam katalog /etc/ssh akurat tworzony jest przez openssh-client. Tak na przyszłość używaj opcji --purge, służy do usuwania konfigów z /etc właśnie. Zanim usuniesz coś z /etc z palca, sprawdź do jakiego pakietu należy.

sqrtek · 2012-07-26 21:59:11

I pomyśleć że przez taką komendę komunikat praktycznie na całą stronę wyskoczył.. że też sam nie mógł mi tego mkdir /etc/ssh wykonać :D ale faktycznie komenda pomogła. Teraz zabieram się dalej do roboty.

Jacekalex · 2012-07-26 22:26:37

sessions.h - źródła openssh przed kompilacją, w Debianie na oczy ich nie zobaczysz, poza tym chyba nie ma takiej potrzeby.

Przykład bez majstrowania w źródłach:

Kod:

groupadd -g 1005 bydle
mkdir -p /home/bydle
useradd bydle -u 1005 -g 1005 -m -d /home/bydle/bydle -s /bin/false

Kod:

ls -ld /home /home/bydle /home/bydle/bydle
drwxr-xr-x 44 root  root  4096 07-26 22:19 /home
drwxr-x---  3 root  root  4096 07-26 22:19 /home/bydle
drwxr-xr-x  3 bydle bydle 4096 07-26 22:19 /home/bydle/bydle

I chrootnąć przez konfig ssh (sftp) możesz do folderu /home/bydle, wszystko powinno ruszyć bez kombinacji w źródlach ssh.
A jak chcesz udostęp[nić powlokę, to jailkitem dodaj w /home/bydle basha i te polecenia, które chcesz mieć w chroocie.

W konfigu ssh

Kod:

    ChrootDirectory  /home/%u

Powinno ruszyć.

Ostatnio edytowany przez Jacekalex (2012-07-26 22:34:48)

ArnVaker · 2012-07-26 22:28:46

Oczywiście, że nie mógł. Ten pakiet ma w zależnościach inny pakiet, który tworzy katalog. W momencie instalowania pakietu katalog ma już istnieć, zapewniają to zależności. Usuwając katalog usunąłeś fragment innego pakietu… Powinieneś go teraz przeinstalować, kilku plików pewnie brakuje.

sqrtek · 2012-07-26 22:44:40

@ArnVaker Dla pewnośći przeinstalowałem :)
@jacekalex dokładnie wszystko zrobiłem tam jak pisałeś, zrobiłem te konto bydle itd. A znowu Connection Closed :(

Nie wiem pokazać ten sshd_config lub jakieś logi bo ja już sam nie wiem?

Ostatnio edytowany przez sqrtek (2012-07-26 22:45:23)

sqrtek · 2012-07-27 11:25:21

Hmm Dzisiaj rano właczyłem serwer i kompa lokalnego i normalnie udało mi się połączyć na konto bydle !.
Tylko że.. teraz wyskakuje taki komunikat:

Kod:

remote readdir("/"): Permission denied
sftp>

Coś z prawami dostępu nie tak czy co?

Edit://
Naprawione ! Działa.. po prostu pierwszy folder bydle, miał uprawnienia 750, a ustawiając na 755 wszystko ruszyło. !

Ostatnio edytowany przez sqrtek (2012-07-27 11:30:51)

Jacekalex · 2012-07-27 12:02:54

Czyli chroot na sftp gotowy, tak? ;)

To teraz moezssz powalczyć z shellem w chroocie, o ile jest potrzebny, sam się chętnie dowiem, jak to najlepiej zrobić, bo u mnie coś nie chce zaskoczyć na razie, a dawno nie bawiłem się ssh w takim kontekście.

Tu masz staszą wersję z pam_chroot - wiki Debiana:
http://www.debian.org/doc/manuals/securing-debian-h … h-env.en.html
Tu przepis na Squeeze (nowszy):
http://www.howtoforge.com/restricting-users-to-sftp … ebian-squeeze
Tylko ostrożnie, to są rózne drogi dojsścia do podobnego celu, takze łatwo się wnich zakręcić jak słoik z konfiturami :D

Ostatnio edytowany przez Jacekalex (2012-07-27 12:04:04)

sqrtek · 2012-07-27 14:08:20

Można powiedzieć że gotowy :). Ale to z tym już zacznę zabawę od Poniedziałku bo teraz niestety cały weekend mnie nie będzie.
Zobaczymy co teraz mi z tym shellem w Chroocie powychodzi..

Forum Debian Users Gang

Ogłoszenie

#1 2012-07-24 21:18:42

sqrtek - Użytkownik

Sesja SSL/TSL dla wybranego usera + proftpd

#2 2012-07-24 21:30:25

Jacekalex - Podobno człowiek...;)

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Kod:

#3 2012-07-24 21:43:44

sqrtek - Użytkownik

Re: Sesja SSL/TSL dla wybranego usera + proftpd

#4 2012-07-24 22:26:41

yossarian - Szczawiożerca

Re: Sesja SSL/TSL dla wybranego usera + proftpd

#5 2012-07-24 22:36:29

sqrtek - Użytkownik

Re: Sesja SSL/TSL dla wybranego usera + proftpd

#6 2012-07-25 00:07:13

Jacekalex - Podobno człowiek...;)

Re: Sesja SSL/TSL dla wybranego usera + proftpd

#7 2012-07-26 00:12:54

sqrtek - Użytkownik

Re: Sesja SSL/TSL dla wybranego usera + proftpd

#8 2012-07-26 00:36:22

Jacekalex - Podobno człowiek...;)

Re: Sesja SSL/TSL dla wybranego usera + proftpd

#9 2012-07-26 17:57:27

sqrtek - Użytkownik

Re: Sesja SSL/TSL dla wybranego usera + proftpd

#10 2012-07-26 18:47:52

RadekD - Użytkownik

Re: Sesja SSL/TSL dla wybranego usera + proftpd

#11 2012-07-26 18:51:14

Jacekalex - Podobno człowiek...;)

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Kod:

Kod:

Kod:

#12 2012-07-26 20:10:27

sqrtek - Użytkownik

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Kod:

#13 2012-07-26 20:17:10

Jacekalex - Podobno człowiek...;)

Re: Sesja SSL/TSL dla wybranego usera + proftpd

#14 2012-07-26 20:25:45

sqrtek - Użytkownik

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Kod:

#15 2012-07-26 20:32:43

Jacekalex - Podobno człowiek...;)

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Kod:

#16 2012-07-26 20:40:10

sqrtek - Użytkownik

Re: Sesja SSL/TSL dla wybranego usera + proftpd

#17 2012-07-26 21:06:31

sqrtek - Użytkownik

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Kod:

#18 2012-07-26 21:16:56

ArnVaker - Kapelusznik

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Kod:

#19 2012-07-26 21:59:11

sqrtek - Użytkownik

Re: Sesja SSL/TSL dla wybranego usera + proftpd

#20 2012-07-26 22:26:37

Jacekalex - Podobno człowiek...;)

Re: Sesja SSL/TSL dla wybranego usera + proftpd

Kod:

Kod:

Kod:

#21 2012-07-26 22:28:46

ArnVaker - Kapelusznik

Re: Sesja SSL/TSL dla wybranego usera + proftpd

#22 2012-07-26 22:44:40

sqrtek - Użytkownik

Re: Sesja SSL/TSL dla wybranego usera + proftpd