[Comm] настройка vsftpd

[Comm] настройка vsftpd

[Алексей Данилович]

Доброго времени суток.

Прошу не гневиться за возможно тривиальный вопрос, настраиваю ftp первый 
раз.
Итак: ALM 2.4 и vsftpd. Прочитал что написано в руководстве 
пользователя, readme и man vsftpd.conf Не понял видимо чего-то, 
касающегося вообще ftp. Мне нужен не анонимный фтп, а который пускает 
пользователей. Не понял, как не выпустить пользователя авторизовавшегося 
  по фтп, из домашней директории? Да, пусть у него нет прав что-то там 
сделать, но все равно не то... А как сделать так, чтобы пользователь 
имел фтп, при этом не имел учетной записи электронной почты? Или, чтобы 
пароль фтп отличался от пароля электронной почты? И еще, как 
какому-нибудь пользователю дать доступ не к домашней, а к совсем другой 
директории? Права у него на нее есть....

Огромное спасибо!
-- 

       WBR,
Alexey Danilovich

Re: [Comm] настройка vsftpd

[Vitaly Lipatov]

On Friday 24 June 2005 20:43, Алексей Данилович wrote:
> чего-то, касающегося вообще ftp. Мне нужен не анонимный фтп, а
Читайте ман внимательнее. Он конечно скупой, но в нём много есть.
> который пускает пользователей. Не понял, как не выпустить
> пользователя авторизовавшегося по фтп, из домашней директории?
Там есть настройки, позволяющие переносить пользователей в 
chroot. См. chroot_local_user
> Да, пусть у него нет прав что-то там сделать, но все равно не
> то... А как сделать так, чтобы пользователь имел фтп, при этом
> не имел учетной записи электронной почты? Или, чтобы пароль
> фтп отличался от пароля электронной почты? И еще, как
Значит нужны виртуальные пользователи.
/usr/share/doc/vsftpd-1.2.2/EXAMPLE/VIRTUAL_USERS
> какому-нибудь пользователю дать доступ не к домашней, а к
> совсем другой директории? Права у него на нее есть....
Каждого со своим каталогом? См. user_config_dir
См. также
http://www.freesource.info/wiki/AltLinux/Dokumentacija/NastrojjkaFTP
Там есть ссылки на статьи про vsftp, ну и может сами что-то 
добавите...

-- 
Lav
Виталий Липатов
Санкт-Петербург
GNU! ALT Linux Team! WINE! LaTeX! LyX!

Re: [Comm] настройка vsftpd

[Алексей Данилович]

Vitaly Lipatov wrote:
> On Friday 24 June 2005 20:43, Алексей Данилович wrote:
> 
>>чего-то, касающегося вообще ftp. Мне нужен не анонимный фтп, а
> 
> Читайте ман внимательнее. Он конечно скупой, но в нём много есть.
> 
>>который пускает пользователей. Не понял, как не выпустить
>>пользователя авторизовавшегося по фтп, из домашней директории?
> 
> Там есть настройки, позволяющие переносить пользователей в 
> chroot. См. chroot_local_user
> 
>>Да, пусть у него нет прав что-то там сделать, но все равно не
>>то... А как сделать так, чтобы пользователь имел фтп, при этом
>>не имел учетной записи электронной почты? Или, чтобы пароль
>>фтп отличался от пароля электронной почты? И еще, как
> 
> Значит нужны виртуальные пользователи.
> /usr/share/doc/vsftpd-1.2.2/EXAMPLE/VIRTUAL_USERS
> 
>>какому-нибудь пользователю дать доступ не к домашней, а к
>>совсем другой директории? Права у него на нее есть....
> 
> Каждого со своим каталогом? См. user_config_dir
> См. также
> http://www.freesource.info/wiki/AltLinux/Dokumentacija/NastrojjkaFTP
> Там есть ссылки на статьи про vsftp, ну и может сами что-то 
> добавите...
> 
Благодарю, пошел разбираться....

-- 

       WBR,
Alexey Danilovich

Re: [Comm] настройка vsftpd

[Алексей Данилович]

Vitaly Lipatov wrote:
> On Friday 24 June 2005 20:43, Алексей Данилович wrote:
> 
>>чего-то, касающегося вообще ftp. Мне нужен не анонимный фтп, а
> 
> Читайте ман внимательнее. Он конечно скупой, но в нём много есть.
> 
>>который пускает пользователей. Не понял, как не выпустить
>>пользователя авторизовавшегося по фтп, из домашней директории?
> 
> Там есть настройки, позволяющие переносить пользователей в 
> chroot. См. chroot_local_user
> 
>>Да, пусть у него нет прав что-то там сделать, но все равно не
>>то... А как сделать так, чтобы пользователь имел фтп, при этом
>>не имел учетной записи электронной почты? Или, чтобы пароль
>>фтп отличался от пароля электронной почты? И еще, как
> 
> Значит нужны виртуальные пользователи.
> /usr/share/doc/vsftpd-1.2.2/EXAMPLE/VIRTUAL_USERS
> 
>>какому-нибудь пользователю дать доступ не к домашней, а к
>>совсем другой директории? Права у него на нее есть....
> 
> Каждого со своим каталогом? См. user_config_dir
> См. также
> http://www.freesource.info/wiki/AltLinux/Dokumentacija/NastrojjkaFTP
> Там есть ссылки на статьи про vsftp, ну и может сами что-то 
> добавите...
> 
Почти разобрался, спасибо.

Осталось два вопроса, если можно.
1). Для установки виртуальных пользователей в примерах приведены модули 
pam_userdb и ултилита db_load кажется... Я так и не смог найти, а откуда 
  их взять? В пакетах что-то не ищется, или я не прав?

2). Поднимал ftp на 2 разных серверах. На одном после вышеприведенной 
подсказки разобрался... На втором все тоже самое: мастер 2.4, vsftpd из 
комплекта, настройки vsftpd, xinetd и, с точночтью до ip адресов, 
iptables. Но здесь с самой машины ftp 127.0.0.1 работает, а ftp 
192.168.0.1 нет. С внешним ip шником тоже нет. iptables пропускает 
_любые_ обращения к серверу из внутренней сети. Сообщение:
service not availble, remote host has closed connection.
Я окончательно в непонятках, что тут может быть?

Большое спасибо.

-- 

       WBR,
Alexey Danilovich

Re: [Comm] настройка vsftpd

[Sergey]

В Пнд, 27/06/2005 в 12:59 +0400, Алексей Данилович пишет:
> 2). Поднимал ftp на 2 разных серверах. На одном после вышеприведенной 
> подсказки разобрался... На втором все тоже самое: мастер 2.4, vsftpd из 
> комплекта, настройки vsftpd, xinetd и, с точночтью до ip адресов, 
> iptables. Но здесь с самой машины ftp 127.0.0.1 работает, а ftp 
> 192.168.0.1 нет. С внешним ip шником тоже нет. iptables пропускает 
> _любые_ обращения к серверу из внутренней сети. Сообщение:
> service not availble, remote host has closed connection.
> Я окончательно в непонятках, что тут может быть?

закомментировать строку only_from=127.0.0.1 или добавить вместо
127.0.0.1 адреса сетей, которые желаете обслуживать.
-- 
С уважением, Сергей.

Re: [Comm] настройка vsftpd

[Sergey]

В Втр, 28/06/2005 в 10:48 +0400, Sergey пишет:
> закомментировать строку only_from=127.0.0.1 или добавить вместо
> 127.0.0.1 адреса сетей, которые желаете обслуживать.
Чуть не забыл. Строка эта в /etc/xinetd.conf

Re: [Comm] ОБУФТПКЛБ vsftpd

[Алексей Данилович]

Sergey wrote:
> В Пнд, 27/06/2005 в 12:59 +0400, Алексей Данилович пишет:
> 
>>2). Поднимал ftp на 2 разных серверах. На одном после вышеприведенной 
>>подсказки разобрался... На втором все тоже самое: мастер 2.4, vsftpd из 
>>комплекта, настройки vsftpd, xinetd и, с точночтью до ip адресов, 
>>iptables. Но здесь с самой машины ftp 127.0.0.1 работает, а ftp 
>>192.168.0.1 нет. С внешним ip шником тоже нет. iptables пропускает 
>>_любые_ обращения к серверу из внутренней сети. Сообщение:
>>service not availble, remote host has closed connection.
>>Я окончательно в непонятках, что тут может быть?
> 
> 
> закомментировать строку only_from=127.0.0.1 или добавить вместо
> 127.0.0.1 адреса сетей, которые желаете обслуживать.
> 
> 
> ------------------------------------------------------------------------
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/community

Там нет строки only_from вообще. Хотя это именно xinetd. В 
/var/log/messages остаются записи, что он не может найти свой баннер...
-- 

       WBR,
Alexey Danilovich

Re: [Comm] ОБУФТПКЛБ vsftpd

[Alexey Morsov]

Sergey wrote:
> В Втр, 28/06/2005 в 10:48 +0400, Sergey пишет:
> 
>>закомментировать строку only_from=127.0.0.1 или добавить вместо
>>127.0.0.1 адреса сетей, которые желаете обслуживать.
> 
> Чуть не забыл. Строка эта в /etc/xinetd.conf
Лучше ее же в /etc/xinetd.d/vsftpd.conf
Нужен ведь только ftp

-- 
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.pibhe.com
http://www.ricom.ru
http://www.fondmarket.ru

Re: [Comm] настройка vsftpd

[Mike Lykov]

В сообщении от Вторник 28 Июнь 2005 11:56 Sergey написал:
> > закомментировать строку only_from=127.0.0.1 или добавить вместо
> > 127.0.0.1 адреса сетей, которые желаете обслуживать.
> Чуть не забыл. Строка эта в /etc/xinetd.conf

вы совершенно неправы. ЭТУ строку трогать не надо.
надо вписать параметр only_from в тот файл настроек, где это требуется 
(xinet.d/vsftpd например).

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re[2]: [Comm] настройка vsftpd

[Алексей Данилович]

-----Original Message-----
From: Mike Lykov <combr@vesna.ru>
To: community@altlinux.ru
Date: Tue, 28 Jun 2005 12:41:48 +0500
Subject: Re: [Comm] настройка vsftpd

> 
> В сообщении от Вторник 28 Июнь 2005 11:56 Sergey написал:
> > > закомментировать строку only_from=127.0.0.1 или добавить вместо
> > > 127.0.0.1 адреса сетей, которые желаете обслуживать.
> > Чуть не забыл. Строка эта в /etc/xinetd.conf
> 
> вы совершенно неправы. ЭТУ строку трогать не надо.
> надо вписать параметр only_from в тот файл настроек, где это требуется 
> (xinet.d/vsftpd например).
> 
Тьфу ты, забыл я ИМЕННО ПРО ЭТУ строку. И спасибо человеку, что напомнил мне о ней.  А так я знаю, что безопаснее будет написать для конкретной службы, но ц меня на той машине и так ничего кроме ftp из xinetd не запускается.

Еще раз спасибо

Re: [Comm] настройка vsftpd

[Sergey S. Skulachenko]

On Tue, 28 Jun 2005 16:55:45 +0400
Алексей Данилович 	<mlists@list.ru> wrote:

> > > > закомментировать строку only_from=127.0.0.1 или добавить
> > > > вместо 127.0.0.1 адреса сетей, которые желаете
> > > > обслуживать.
> > > Чуть не забыл. Строка эта в /etc/xinetd.conf
> > 
> > вы совершенно неправы. ЭТУ строку трогать не надо.
> > надо вписать параметр only_from в тот файл настроек, где это
> > требуется  (xinet.d/vsftpd например).
> > 
> Тьфу ты, забыл я ИМЕННО ПРО ЭТУ строку. И спасибо человеку, что
> напомнил мне о ней.  А так я знаю, что безопаснее будет
> написать для конкретной службы, но ц меня на той машине и так
> ничего кроме ftp из xinetd не запускается.

И всё-таки не спешите ворота во всю ширь открывать. Пусть строка
сначала выглядит, к примеру, так:
only_from = 127.0.0.1 192.168.2.15
т.е. только одной конкретной машине разрешили доступ и т.д.
Строже надо администрировать. Так полезная привычка
вырабатывается. "Закомментировать" - это, на мой взгляд, очень
вредный совет. (Очевидно, что это мой пунктик :-).

-- 
С уважением,
С.С.Скулаченко

Re: [Comm] настройка vsftpd

[Алексей Данилович]

Sergey S. Skulachenko wrote:
> On Tue, 28 Jun 2005 16:55:45 +0400
> Алексей Данилович 	<mlists@list.ru> wrote:
> 
> 
>>>>>закомментировать строку only_from=127.0.0.1 или добавить
>>>>>вместо 127.0.0.1 адреса сетей, которые желаете
>>>>>обслуживать.
>>>>
>>>>Чуть не забыл. Строка эта в /etc/xinetd.conf
>>>
>>>вы совершенно неправы. ЭТУ строку трогать не надо.
>>>надо вписать параметр only_from в тот файл настроек, где это
>>>требуется  (xinet.d/vsftpd например).
>>>
>>
>>Тьфу ты, забыл я ИМЕННО ПРО ЭТУ строку. И спасибо человеку, что
>>напомнил мне о ней.  А так я знаю, что безопаснее будет
>>написать для конкретной службы, но ц меня на той машине и так
>>ничего кроме ftp из xinetd не запускается.
> 
> 
> И всё-таки не спешите ворота во всю ширь открывать. Пусть строка
> сначала выглядит, к примеру, так:
> only_from = 127.0.0.1 192.168.2.15
> т.е. только одной конкретной машине разрешили доступ и т.д.
> Строже надо администрировать. Так полезная привычка
> вырабатывается. "Закомментировать" - это, на мой взгляд, очень
> вредный совет. (Очевидно, что это мой пунктик :-).
> 
Ваш совет подходит только для ситуации, когда известен адрес, с которого 
будет производиться доступ. Что не всегда так.

-- 

       WBR,
Alexey Danilovich

Re: [Comm] настройка vsftpd

[Mike Lykov]

В сообщении от Среда 29 Июнь 2005 00:57 Алексей Данилович написал:
> Ваш совет подходит только для ситуации, когда известен адрес, с которого
> будет производиться доступ. Что не всегда так.

А ваш совет подходит только для ситуации, когда вокруг все добрые идеальные 
люди. Что не всегда так.

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] настройка vsftpd

[Алексей Данилович]

Mike Lykov wrote:
> В сообщении от Среда 29 Июнь 2005 00:57 Алексей Данилович написал:
> 
>>Ваш совет подходит только для ситуации, когда известен адрес, с которого
>>будет производиться доступ. Что не всегда так.
> 
> 
> А ваш совет подходит только для ситуации, когда вокруг все добрые идеальные 
> люди. Что не всегда так.
> 
В целом согласен.

-- 

       WBR,
Alexey Danilovich

Re: [Comm] настройка vsftpd

[Nikolas Lavashevitch]

>>В сообщении от Вторник 28 Июнь 2005 11:56 Sergey написал:
>>    
>>
>>>>закомментировать строку only_from=127.0.0.1 или добавить вместо
>>>>127.0.0.1 адреса сетей, которые желаете обслуживать.
>>>>        
>>>>
>>>Чуть не забыл. Строка эта в /etc/xinetd.conf
>>>      
>>>
>>вы совершенно неправы. ЭТУ строку трогать не надо.
>>надо вписать параметр only_from в тот файл настроек, где это требуется 
>>(xinet.d/vsftpd например).
>>
Как вариант, можно привязаться к интерфейсу через
listen_address=192.168.0.100 или какой там у Вас IP //в vsftpd.conf