Linux Frage vsftpd und chroot

Dieses Thema im Forum "Linux" wurde erstellt von Breakbit, 2 Februar 2013.

  1. Breakbit

    Breakbit Soul Manager

    Registriert seit:
    22 April 2001
    Beiträge:
    1.454
    Ich möchte einem FTP Benutzer genau einen Ordner im Webserverordner zur Verfügung stellen. Der Benutzer soll nur diesen Ordner sehen, soll aber aber darin machen können was er will (lesen, schreiben, Ordner anlegen).

    Code:
    adduser -d /srv/www/webserver/public_html/ordner/ordner_ftpuser
    (Shell für diesen User ist abgeschaltet, bzw. zeigt auf /bin/false)

    In vsftpd.conf:
    Code:
    chroot_local_user=YES
    Jetzt sieht der Benutzer im FTP Client aber trotzdem den Verzeichnisbaum vom Stammordner bis zu seinem Homeordner im Webserverordner, gleichwohl er keinen Zugriff auf die einzelnen Ordner hat. Er soll aber diese Ordner nicht sehen können.

    Gleiches Verhalten auch bei chroot_local_user=NO mit chroot_list_enable=YES

    Woran liegt das und wie kann man das ändern?
  2. Brian

    Brian Username

    Registriert seit:
    13 Juni 2002
    Beiträge:
    1.849
    AW: vsftpd und chroot

    Also FTP ist ein veraltes Protokoll, welches ich gar nicht mehr einsetzen
    würde. Besonders nicht, um Leute Dateien hochladen zu lassen.

    Nimm SFTP (=SCP), dann am besten CHROOT, dass kann OpenSSH von Haus aus
    inzwischen.
    QuicksandF und DrSnuggles sagen Danke.
  3. DrSnuggles

    DrSnuggles Xanatos

    Registriert seit:
    31 Oktober 2004
    Beiträge:
    21.070
  4. Brian

    Brian Username

    Registriert seit:
    13 Juni 2002
    Beiträge:
    1.849
    AW: vsftpd und chroot

    Jein!

    FTPS und SFTP sind zwei völlig verschiedene Dinge Aber SFTP und SCP sind sehr
    sehr nahe.

  5. DrSnuggles

    DrSnuggles Xanatos

    Registriert seit:
    31 Oktober 2004
    Beiträge:
    21.070
    AW: vsftpd und chroot

    Nö. Schau dir einfach die Protokolle an.
  6. sterin

    sterin Bekanntes Mitglied

    Registriert seit:
    26 April 2001
    Beiträge:
    2.605
    AW: vsftpd und chroot

    Was nimmt man eigentlich, wenn man Usern, die nur mit Browser und Windows-Explorer bzw. OSX-Finder ausgestattet sind Datei-Up- und Download ermöglichen will?
  7. Brian

    Brian Username

    Registriert seit:
    13 Juni 2002
    Beiträge:
    1.849
    AW: vsftpd und chroot

    Kommt immer auf die Anwendung an, aber Webdav ist eine Möglichkeit ansonsten
    gibt es da auch gute Lösungen über HTTPS.
  8. sterin

    sterin Bekanntes Mitglied

    Registriert seit:
    26 April 2001
    Beiträge:
    2.605
    AW: vsftpd und chroot

    Danke für die Antwort!
    Ist das DAU-kompatibel? Ich hatte im Kopf, dass WebDAV von der Clientseite her oft recht erklärungsbedürftig ist.
    Z. B.? Bei mir geht es um eine 5W-Kiste mit 256KB RAM und einem ARMv5-Kern, da düefte auch es gern was Schlankes ohne PHP/MySQL etc. sein, aber wenn das einfach zu konfigurieren ist würde ich es mal ausprobieren. FTP ist halt wiklich auch nicht das Gelbe vom Ei.
  9. Brian

    Brian Username

    Registriert seit:
    13 Juni 2002
    Beiträge:
    1.849
    AW: vsftpd und chroot

    Dann wird es eng ;)
    sterin sagt Danke.
  10. Breakbit

    Breakbit Soul Manager

    Registriert seit:
    22 April 2001
    Beiträge:
    1.454
    AW: vsftpd und chroot

    Ok, nächstes Mal werde ich's mit SFTP machen, aber dieses Mal möchte ich das gerne per FTP machen.

    Ist nur ein kleiner UT99 Gameserver bei dem ich ein paar Jungs einen redirect für ihren Server eingerichtet habe. Der ist ggf. im Handumdrehen wieder auf den vorherigen Stand gebracht.

    Der FTP wird auch direkt wieder abgeschaltet, nachdem die Files oben sind weil der jeweilige Download dann über den httpd geht.

    Wie bekomme ich das mit der Sichtbarkeit hin? Dateisystemrechte? Irgendeine vsftpd Einstellung übersehen?
  11. Brian

    Brian Username

    Registriert seit:
    13 Juni 2002
    Beiträge:
    1.849
    AW: vsftpd und chroot

    Zu Deinem Problem:
    chroot_local_user=YES sorgt ja nur dafür, dass der User auf sein
    $HOME zugreifen kann und sonst nirgendwo. Ein adduser -d kenne
    ich nicht. Schau mal ob in der /etc/passwd wirklich das von Dir
    gewünschte $HOME eingetragen ist.

    Da ich noch keinen vsftp installiert habe stammen meine Infos
    hier her: http://wiki.ubuntuusers.de/vsftpd



    Generell:
    Ich habe in all den Jahren in denen ich als Admin arbeite nur ein
    Mal einen FTP Server aufgesetzt. Und dies auf Wunsch eines nicht
    belehrbaren Kunden. Wer Resourcen sparen möchte, soll den FTP
    sparen, da der SSH mit 99,9%iger Wahrscheinlichkeit schon läuft.
    DrSnuggles sagt Danke.
  12. sterin

    sterin Bekanntes Mitglied

    Registriert seit:
    26 April 2001
    Beiträge:
    2.605
    AW: vsftpd und chroot

    Danke! Was wäre denn, interessehalber, Deine Empfehlung gewesen?
  13. Breakbit

    Breakbit Soul Manager

    Registriert seit:
    22 April 2001
    Beiträge:
    1.454
    AW: vsftpd und chroot

    SSH läuft, darüber melde ich mich an und benutze sogar SFTP über den Bitvise Client :)
    Hab jetzt aber aktuell keine Zeit/Lust mich mit der SFTP-config zu beschäftigen, da ich mit meinen Windowsservern genug zu tun habe ... Wird aber sicher irgendwann nachgeholt.

    /etc/passwd sieht gut aus, Pfad steht korrekt drin.

    Zu adduser useradd (sorry):
    Code:
    Usage: useradd [options] LOGIN
    
    Options:
      -b, --base-dir BASE_DIR       base directory for the new user account                                 home directory
      -c, --comment COMMENT         set the GECOS field for the new user account
      -d, --home-dir HOME_DIR       home directory for the new user account
      -D, --defaults                print or save modified default useradd
                                    configuration
      -e, --expiredate EXPIRE_DATE  set account expiration date to EXPIRE_DATE
      -f, --inactive INACTIVE       set password inactive after expiration
                                    to INACTIVE
      -g, --gid GROUP               force use GROUP for the new user account
      -G, --groups GROUPS           list of supplementary groups for the new
                                    user account
      -h, --help                    display this help message and exit
      -k, --skel SKEL_DIR           specify an alternative skel directory
      -K, --key KEY=VALUE           overrides /etc/login.defs defaults
      -m, --create-home             create home directory for the new user
                                    account
      -l,                       do not add user to lastlog database file
      -M,                       do not create user's home directory(overrides /etc/l
    ogin.defs)
      -r,                       create system account
      -o, --non-unique              allow create user with duplicate
                                    (non-unique) UID
      -p, --password PASSWORD       use encrypted password for the new user
                                    account
      -s, --shell SHELL             the login shell for the new user account
      -u, --uid UID                 force use the UID for the new user account
      -Z, --selinux-user SEUSER     use a specific SEUSER for the SELinux user mappi
    ng
    OS ist CentOs5 falls von Belang.
  14. Brian

    Brian Username

    Registriert seit:
    13 Juni 2002
    Beiträge:
    1.849
  15. Breakbit

    Breakbit Soul Manager

    Registriert seit:
    22 April 2001
    Beiträge:
    1.454
    AW: vsftpd und chroot

    Dochdochdoch :) service vsftpd restart -> [ Ok ]
    Immer schön dran denken, hab mir bei den UT Server Configs über Jahre schon oft einen zusammengeflucht wegen der Vergesslichkeit ;)

    Ich überlege gerade, ob es ein clientseitiges (Filezilla) Phänomen sein könnte. Vielleicht hatte ich mich schonmal irgendwann bei Konfigurieren eingeloggt mit anderem User und homedir woanders und er hat es sich gemerkt/gecacht und andere Clients würden schön im homedir bleiben?

    //Danke für den Link. Sieht auf den ersten Blick ganz übersichtlich aus, werde ich mal testen.
  16. sterin

    sterin Bekanntes Mitglied

    Registriert seit:
    26 April 2001
    Beiträge:
    2.605
    AW: vsftpd und chroot

    Sorry für die späte Antwort - klar sind's 256MB :). Geauer ist es so ein Teil hier, das mit Debian und ein paar USB-Sticks gespickt in der Zimmerecke rumsteht.

    Neben ein paar anderen Kleinigkeiten soll das Ding zum möglichst DAU-kompatiblen Datenaustausch genutzt werden. Besonders performant braucht das Teil nicht zu sein. Bisher lieg das über FTP, da allerdings für den Fototausch eh ein Webserver mit einer Gallerie vielleicht ganz nett wäre, wär's natürlich nicht schlecht, wenn man in dem Zuge auch sicheren Upload und vielleicht sogar eine nette kleine Webanwendung hätte, die das flexible Teilen zwischen den Usern ermöglicht.

    Ist halt nicht viel Leistung vorhanden, da allerdings in der Regel ohnehin nur max 2 gleichzeitige User sporadisch drauf zugreifen werden, könnte man es durchaus mal ausprobieren. Dahe die Frage, was Du für die Upload-Sache im Auge hattest.

    /sterin
  17. Brian

    Brian Username

    Registriert seit:
    13 Juni 2002
    Beiträge:
    1.849
    AW: vsftpd und chroot

    Ok, also für Bilder empfehle ich Dir Gallery, die haben verschiedenste
    Möglichkeiten über Webinterface Daten hoch und runter zu laden u.a.
    Java-Plugins.

    Für normale Dateien ist immer noch SFTP die beste Wahl und wer kein WinSCP
    installieren kann hat halt Pech gehabt ;)
  18. sterin

    sterin Bekanntes Mitglied

    Registriert seit:
    26 April 2001
    Beiträge:
    2.605
    AW: vsftpd und chroot

    Danke für den Tip! - wobei ich DAUs sicher nicht JAVA antun werde. Aber es sieht so aus, als sei da z. B. auch ein Flash-Applet für den clientseitigen Upload dabei. Mal sehen, meinst' "Gallery" kommt serverseitig mit den mickrigen Systemressourcen aus? Scheint insges. nur für Bildateien gedacht und geeignet zu sein, oder? Für andere Dateien dann ein weiteres Upload-Skript oder wie würdest Du das machen? SFTP ist für die paar Anwender um die es geht von der Zielgruppe her ;) zu hoch. Sorry für die vielen Fragen, ich gebe zu, ich habe noch nicht wirklich zielführend drüber nachgedacht und bin nur aufgesprungen, weil es hieß FTP sei nicht mehr vertretbar.