FTP server z AZboxu

[Stevo102]

Ahojte, urobil som nového usera na ftp podla návodu, pekne mi to funguje - root sa dostane cez ftp všade a pridaný užívateľ len do vybranej zložky na hdb1 tak ako som to chcel. Lenže problém je v tom, že keď sa tento nový užívateľ prihlási cez telnet tak sa dostane všade... Neviete mi poradiť ako by som tomu užívateľovi zakázal telnet ssh, proste aby mal len to ftp?

[j3nda]

zmenit shell na /bin/nologin /bin/noshell
v pravech uzivatele

prosimte postni sem jeste vypis toho tveho vsftpd.conf
me to krasne fungovalo, nez jsem to presmeroval z flash pameti na HDD, pak jsem mel zamcenyho i roota do home slozky

[Stevo102]

Ako na ten shell? Skús ma nakopnúť.
Hneď ti sem dám configy...

EDIT: No jasné už to mám:
etc/passwd

root0:0:root:/root:/bin/sh
daemon1:1:daemon:/usr/sbin:/bin/sh
bin2:2:bin:/bin:/bin/sh
sys3:3:sys:/dev:/bin/sh
sync4sync:/bin:/bin/sync
mail8:8:mail:/var/spool/mail:/bin/sh
proxy13:13:proxy:/bin:/bin/sh
www-data33:33:www-data:/var/www:/bin/sh
backup34:34:backup:/var/backups:/bin/sh
operator37:37:Operator:/var:/bin/sh
sshd103:99:Operator:/var:/bin/sh
nobody99:99:nobody:/home:/bin/sh
stbuser1001STB User,,,:/EMU/home/stbuser:/bin/sh
uzivatel1002Linux User,,,:/DATA/hdb1/download/zlozka:/bin/nologin /bin noshell


Lenže po reboote sa mi to vymaže!!! Ostane tam len bin/sh

EDIT: Tak figu borovú vôbec to tak nefunguje, ako to mám teda urobiť?

[Stevo102]

vsftpd.conf

anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=NO
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
pam_service_name=vsftpd
#tcp_wrappers=YES
ftp_username=root
secure_chroot_dir=/DATA/hdb1/download/zlozka
chroot_list_enable=YES
chroot_list_file=/MMP/etc/vsftpd.chroot_list


vsftpd.chroot_list

uzivatel

V tom vsftpd.chroot_list, keď som tam dal root, tak to blblo, tak som tam napísal toho nového užívateľa čo som urobil a už to ide. Root mi funguje tak ako predtým. Ešte som musel ale pre toho užívateľa povoliť zapisovanie ("chown 1002:1002 zlozka" - ale musíš byť v tom adresári pred zlozkou) do tej zložky a to bolo všetko.

[j3nda]

ja to chapu tak, ze v chroot.liste by mel bejt uzivatel ktery nema byt chrootovan, ale nefungovalo mi to tak a root byl zamcen v home slozce

[Stevo102]

ja to chapu tak, ze v chroot.liste by mel bejt uzivatel ktery nema byt chrootovan, ale nefungovalo mi to tak a root byl zamcen v home slozce

No ja som to pochopil práve naopak, že ten ktorý má byť chrootovaný tak tam má byť, keď tam dám roota tak mi ho zachrootuje... Ešte mi prosím ťa povedz ako na to zakázať telnet a sshd pripojenie tomu užívateľovi... Neviem v ktorom súbore čo a ako editovať.

[j3nda]

etc\passwd
u toho uzivatele nahradis :/bin/sh :/bin/noshell
napriklad a nebo to muzes nadefinovat uz behem vytvareni usera
dej vedet jestli to dostanes do plne funkcniho stavu :0

[Stevo102]

etc\passwd
u toho uzivatele nahradis :/bin/sh :/bin/noshell
napriklad a nebo to muzes nadefinovat uz behem vytvareni usera
dej vedet jestli to dostanes do plne funkcniho stavu :0

Skúšal som to aj tak aj tak ale nefunguje to, vôbec sa potom nedá prihlásiť ani na ftp ani telnetom. Bude to asi inak. Kto by vedel ako? Goodle našiel návod ale treba editovať súbory ktoré tu ja vôbec nemám... napr. etc/shell

[Stevo102]

Zistil som ďalšiu vec, že keď do chroot listu pridám ďalšieho usera, tak to prestane chrootovať toho prvého. Napr.:
vsftpd.chroot_list

user1
user2

user2 je chrootovaný ale user1 nie, keď vymažem user2 tak user1 bude chrootovaný... Ja tomu fakt nechápem, skúšal som to tam napísať aj vedľa seba s medzerou alebo s čiarkou a nič. A ten SHELL to mi už vôbec nejde urobiť.
Ak sa už niekto s tým zabával a vie ako na to tak pls poraďte...

[tear12]

Možná to sem až tak úplně nepatří, ale nevím jestli kvůli tomu mám zakládat nové téma

Chci se zeptat mám NAS na něm mám přes package manager (ipkg) nainstalován Midnight commander (mc) to samé i na Azboxu, NAS a PC mám připojené k routeru kabelem, Azbox přes wifi, ale nedaří se mi přes mc ani z NASu a ani z Azboxu navzájem mezi sebou spojit přes ftp, mc z NASu napíše "Cannot chdir to /ftp#:root:azbox@192.168.x.x" a pro změnu mc z Azboxu při zadání přihlašování k NASu, terminál prostě jakoby vytuhne (nejde psát žádné příkazy, ani nic jiného, jedině natvrdo ukončit a pak znovu spustit s novým přihlášením), používám Putty jako telnet klienta pro PC a přihlašuji se přes ssh jak k NAS tak k Azboxu, v čem by mohl být problém? V nějakém dřívějším fw vím že jsem to zkoušel a aspoň jedním směrem jsem se spojil, ale teď mi to prostě nejde Jde mi o to že by to mohlo mezi sebou kopírovat soubory bez použití PC, při využití screenu Doufám že jsem to napsal tak aby to bylo k pochopení

[Stevo102]

Možná to sem až tak úplně nepatří, ale nevím jestli kvůli tomu mám zakládat nové téma

Chci se zeptat mám NAS na něm mám přes package manager (ipkg) nainstalován Midnight commander (mc) to samé i na Azboxu, NAS a PC mám připojené k routeru kabelem, Azbox přes wifi, ale nedaří se mi přes mc ani z NASu a ani z Azboxu navzájem mezi sebou spojit přes ftp, mc z NASu napíše "Cannot chdir to /ftp#:root:azbox@192.168.x.x" a pro změnu mc z Azboxu při zadání přihlašování k NASu, terminál prostě jakoby vytuhne (nejde psát žádné příkazy, ani nic jiného, jedině natvrdo ukončit a pak znovu spustit s novým přihlášením), používám Putty jako telnet klienta pro PC a přihlašuji se přes ssh jak k NAS tak k Azboxu, v čem by mohl být problém? V nějakém dřívějším fw vím že jsem to zkoušel a aspoň jedním směrem jsem se spojil, ale teď mi to prostě nejde Jde mi o to že by to mohlo mezi sebou kopírovat soubory bez použití PC, při využití screenu Doufám že jsem to napsal tak aby to bylo k pochopení

No pokial som to dobre pochopil, tak nechápem prečo to chceš robiť cez telnet a mc, keď to môžeš urobiť cez HOME/Správca súborov a tam sieť.... zadáš ip, login, heslo a si tam. Alebo mi niečo ušlo?

[zbyneksk]

Alebo mi niečo ušlo?

To teda ano. Vzdyt jasne pise, ze bez pouziti PC. Asi to PC behem kopirovani nechce pouzivat z jakehokoliv duvodu.
Napr. PC v noci pri nizsi okolni hladine hluku generuje neprijemny hluk (ktery je za bezneho dne neslysitelny).
Navic krome nervu imho usetri i elektrickou energii.

Takze misto huciho PC chce pouzit utilitu screen (to na win neroste), ve ktere pobezi spravce, napr. MC.
Je to velice chytra volba, nebot tuto utilitu osobne pouzivam napr. pri dlouhych kompilacich.

[zbyneksk]

Možná to sem až tak úplně nepatří, ale nevím jestli kvůli tomu mám zakládat nové téma

Chci se zeptat mám NAS na něm mám přes package manager (ipkg) nainstalován Midnight commander (mc) to samé i na Azboxu, NAS a PC mám připojené k routeru kabelem, Azbox přes wifi, ale nedaří se mi přes mc ani z NASu a ani z Azboxu navzájem mezi sebou spojit přes ftp, mc z NASu napíše "Cannot chdir to /ftp#:root:azbox@192.168.x.x" a pro změnu mc z Azboxu při zadání přihlašování k NASu, terminál prostě jakoby vytuhne (nejde psát žádné příkazy, ani nic jiného, jedině natvrdo ukončit a pak znovu spustit s novým přihlášením), používám Putty jako telnet klienta pro PC a přihlašuji se přes ssh jak k NAS tak k Azboxu, v čem by mohl být problém? V nějakém dřívějším fw vím že jsem to zkoušel a aspoň jedním směrem jsem se spojil, ale teď mi to prostě nejde Jde mi o to že by to mohlo mezi sebou kopírovat soubory bez použití PC, při využití screenu Doufám že jsem to napsal tak aby to bylo k pochopení

Tak si na tom NAS spust MC, pak najed na Levy panel, sjed dolu na FTP spojeni,
tam napises root@<aktualni IP adresa pro AZBoxHD> + Enter,
pak napises heslo, treba azbox, Enter, a pokud jsi to nemenil jsi tam.

BTW: mas tu FTP sluzbu na AZBoxHD spustenou?
Staci obrazek takto, nebo to chces anglicky? Jen to zas ukousne trochu casu.

[tear12]

Právě o tom jsem se taky zmiňoval, zadával jsem do mc v NASu sice root:azbox@192.168.x.x a když zadám jen root@192.168.x.x tak právě to napíše "Cannot chdir to /#ftp:root@192.168.x.x" a samozřejmě že ftp mám povolené jak v NASu tak i v Azboxu

[Stevo102]

Tak som sa trochu zabával s ftp serverom v azboxe...
Keďže v minulosti mi robil problém shell (nechcel som aby sa dostali na SSH alebo telnet ale len na FTP) pre určitých užívateľov a tiež chroot (uzamykanie užívateľov do určených zložiek) a nik tu nevedel konkrétne povedať čo a ako, tak som trochu hladal a podarilo sa. Návod:

zeditujeme súbor etc/vsftpd.conf - bude vyzerať takto:

Kód: Vybrat vše

#/etc/vsftpd.conf
# Opendreambox /etc/vsftpd.conf
#
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.
#
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=NO
#
# Uncomment this to allow local users to log in.
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
#local_umask=022
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
#anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
#anon_mkdir_write_enable=YES
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# Activate logging of uploads/downloads.
#xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like. The default is shown
# below.
#xferlog_file=/var/log/vsftpd.log
#
# If you want, you can have your log file in standard ftpd xferlog format
#xferlog_std_format=YES
#
# You may change the default value for timing out an idle session.
#idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
#data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that turning on ascii_download_enable enables malicious remote parties
# to consume your I/O resources, by issuing the command "SIZE /big/file" in
# ASCII mode.
# These ASCII options are split into upload and download because you may wish
# to enable ASCII uploads (to prevent uploaded scripts etc. from breaking),
# without the DoS risk of SIZE and ASCII downloads. ASCII mangling should be
# on the client anyway..
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login banner string:
ftpd_banner=Welcome to the OpenDreambox FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd.banned_emails
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
[b]chroot_local_user=YES
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd.chroot_list[/b]
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
ls_recurse_enable=YES
#
secure_chroot_dir=/dev/shm
#local_root=/ 

Jedná sa o vyznačené položky v configu,
- chroot_local user znamená že užívateľ zapísaný v chroot_liste nebude chrootovaný, čiže bude mať prístup všade.
- chroot_list_enable=YES aktivovanie chroot listu
- chroot_list_file - cesta k chroot listu
- local_root=/ určuje cestu pre všetkých užívateľov, preto je to # inak by bol chroot list zbytočný

Ďalej zeditujeme, alebo vytvorime súbor etc/shells

Kód: Vybrat vše

#/etc/shells
/bin/sh
/bin/bash
/bin/false

Potom vytvoríme alebo zeditujeme súbor etc/vsftpd.chroot_list

Kód: Vybrat vše

#/etc/vsftpd.chroot_list
root

- teraz nebude chrootovaný root, ale všetci ostatný užívatelia áno

A nakoniec vytvoríme užívateľa príkazom v konzole:

Kód: Vybrat vše

adduser -h /root/user -s /bin/false user

Týmto sme pridali užívateľa menom user, dostane sa len do zložky /root/user a nebude môcť pristupovať na SSH ani telnet, jedine na FTP do svojej zložky a nikde inde.
Ak by sme mu chceli dovoliť aj SSH alebo telnet tak jednoducho zeditujeme súbor etc/passwd a zmeníme /bin/false na /bin/sh

POZOR: tento postup som aplikoval na Enigme2 pre AZHD, takže cesty k jednotlivým súborom sa môžu líšiť, tiež sa líši riadok "secure_chroot_dir=/dev/shm" v subore vsftpd.conf, inak všetko je rovnaké pre vsftpd server kdekoľvek.