Re: [Comm] VSFTPd не работает с виртуальными пользователями

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Anatoliy Lisutin]

Здравствуйте!
В сообщении от Friday 06 January 2006 15:36 Eugene Seppel написал(a):
> У меня возникла проблема при попытке настройки vsftpd для работы с
> виртуальными пользователями.
У меня аналогичная проблема с локальными пользователми, с  аналогичным выводом 
для себя. 
Compact 3.0


-- 
__
System administrator http://rgantd.ru http://rusarchives.ru
Anatoliy Lisutin   ICQ: 6647501  AKA SilverFox
 

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1602 bytes --]

On Fri, Jan 06, 2006 at 03:36:11PM +0300, Eugene Seppel wrote:
> У меня возникла проблема при попытке настройки vsftpd для работы с
> виртуальными пользователями.

Я могу угадать версии vsftpd и PAM по той информации, которую вы привели,
но в ваших интересах вместо этого сообщить эту информацию самому.

> Делаю всё как в документации по vsftpd.

/usr/share/doc/vsftpd-*/EXAMPLE/VIRTUAL_USERS/README?
К сожалению, эта документация неполная.

> В том числе
> # db_load -T -t hash -f logins.txt /etc/vsftpd/login.db
> а в файле /etc/pam.d/vsftpd пишу
> auth required pam_userdb.so db=/etc/vsftpd/login
> account required pam_userdb.so db=/etc/vsftpd/login

Этих двух строк в этом файле явно недостаточно.
Попробуйте изменить auth в таком духе:
auth required pam_userpass.so
auth required pam_userdb.so use_first_pass db=/etc/vsftpd/login

> и тем не менее при попытке входа под виртуальным пользователем в syslog
> пишется
> Jan  6 15:28:47 localhost pam_userdb[3964]: could not obtain password for
> `my_user'
> 
> Включение опций debug и dump для модуля pam_userdb не помогает улучшить
> информативность.
> Более того, смена db=полная_чушь ничего не меняет. Такое впечатление, что
> pam_userdb сломан.
> 
> Подскажите, пожалуйста, что я делаю не так?

Из той диагностики, что вы привели, можно сделать однозначный вывод о том,
что до pam_userdb не дошёл введённый пользователем пароль (если он вообще
был введён).

> Может кто сталкивался с подобной проблемой или настраивал vsftpd для
> виртуальных пользователей?

Настраивал, не сталкивался.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Eugene Seppel]

07.01.06, Dmitry V. Levin<ldv@altlinux.org> написал(а):
> On Fri, Jan 06, 2006 at 03:36:11PM +0300, Eugene Seppel wrote:
> > У меня возникла проблема при попытке настройки vsftpd для работы с
> > виртуальными пользователями.
>
> Я могу угадать версии vsftpd и PAM по той информации, которую вы привели,
> но в ваших интересах вместо этого сообщить эту информацию самому.
vsftpd 1.2.2-alt3
pam 0.75-alt27

> /usr/share/doc/vsftpd-*/EXAMPLE/VIRTUAL_USERS/README?
> К сожалению, эта документация неполная.
А где можно найти полную? Или что там неправильно?

> > auth required pam_userdb.so db=/etc/vsftpd/login
> > account required pam_userdb.so db=/etc/vsftpd/login
>
> Этих двух строк в этом файле явно недостаточно.
> Попробуйте изменить auth в таком духе:
> auth required pam_userpass.so
> auth required pam_userdb.so use_first_pass db=/etc/vsftpd/login

Всё равно в лог пишется:
pam_userdb[2736]: pam_parse: unknown option; use_first_pass
pam_userdb[2736]: could not obtain password for `my_user'

Если убрать опцию use_first_pass то просто выводится вторая строчка, и
войти тоже не удаётся.

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1343 bytes --]

On Sat, Jan 07, 2006 at 03:01:24PM +0300, Eugene Seppel wrote:
> 07.01.06, Dmitry V. Levin написал(а):
> > On Fri, Jan 06, 2006 at 03:36:11PM +0300, Eugene Seppel wrote:
> > > У меня возникла проблема при попытке настройки vsftpd для работы с
> > > виртуальными пользователями.
> >
> > Я могу угадать версии vsftpd и PAM по той информации, которую вы привели,
> > но в ваших интересах вместо этого сообщить эту информацию самому.
> vsftpd 1.2.2-alt3
> pam 0.75-alt27
> 
> > /usr/share/doc/vsftpd-*/EXAMPLE/VIRTUAL_USERS/README?
> > К сожалению, эта документация неполная.
> А где можно найти полную? Или что там неправильно?

Вероятно, она не адаптирована.

> > > auth required pam_userdb.so db=/etc/vsftpd/login
> > > account required pam_userdb.so db=/etc/vsftpd/login
> >
> > Этих двух строк в этом файле явно недостаточно.
> > Попробуйте изменить auth в таком духе:
> > auth required pam_userpass.so
> > auth required pam_userdb.so use_first_pass db=/etc/vsftpd/login
> 
> Всё равно в лог пишется:
> pam_userdb[2736]: pam_parse: unknown option; use_first_pass
> pam_userdb[2736]: could not obtain password for `my_user'
> 
> Если убрать опцию use_first_pass то просто выводится вторая строчка, и
> войти тоже не удаётся.

В той версии pam_userdb вместо use_first_pass попробуйте use_authtok.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Eugene Seppel]

[-- Attachment #1: Type: text/plain, Size: 779 bytes --]

07.01.06, Dmitry V. Levin<ldv@altlinux.org> написал(а):

> В той версии pam_userdb вместо use_first_pass попробуйте use_authtok.
Уже лучше, но войти всё равно не удаётся.
Он пишет в лог:
pam_userdb[23004]: user 'my_user' granted acces
PAM-warn[23004]: service: vsftpd [on terminal: <unknown>]
PAM-warn[23004]: user: (uid=0) -> my_user [remote: ?nobody@127.0.0.1]
vsftpd: 127.0.0.1: connected[23004]: Sun Jan  8 04:50:26 2006 [pid
23004] [my_user] FAIL LOGIN: Client "127.0.0.1"

Т.е его, похоже, уже сам vsftpd не пускает.
На всякий случай в аттаче мой /etc/vsftpd/conf

/etc/pam.d/vsftpd :
auth required pam_userpass.so
auth required pam_userdb.so use_authtok db=/etc/vsftpd/login

PS
А что за странные различия в версиях PAM? Что писать с новым vsftpd 2
из Сизифа и новым PAM?

[-- Attachment #2: conf --]
[-- Type: application/octet-stream, Size: 0 bytes --]

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1520 bytes --]

On Sun, Jan 08, 2006 at 04:59:11AM +0300, Eugene Seppel wrote:
> 07.01.06, Dmitry V. Levin написал(а):
> 
> > В той версии pam_userdb вместо use_first_pass попробуйте use_authtok.
> Уже лучше, но войти всё равно не удаётся.
> Он пишет в лог:
> pam_userdb[23004]: user 'my_user' granted acces
> PAM-warn[23004]: service: vsftpd [on terminal: <unknown>]
> PAM-warn[23004]: user: (uid=0) -> my_user [remote: ?nobody@127.0.0.1]

А откуда pam_warn?  Что у вас в /etc/pam.d/other?

> vsftpd: 127.0.0.1: connected[23004]: Sun Jan  8 04:50:26 2006 [pid
> 23004] [my_user] FAIL LOGIN: Client "127.0.0.1"
> 
> Т.е его, похоже, уже сам vsftpd не пускает.
> На всякий случай в аттаче мой /etc/vsftpd/conf

Нулевого размера?

> /etc/pam.d/vsftpd :
> auth required pam_userpass.so
> auth required pam_userdb.so use_authtok db=/etc/vsftpd/login

Я бы ещё как минимум добавил
auth required pam_nologin.so
из общих соображений.
Вероятно ещё и account/session может понадобиться.

> PS
> А что за странные различия в версиях PAM?

Ничего странного, PAM и vsftpd развиваются.

> Что писать с новым vsftpd 2 из Сизифа и новым PAM?

Изминения в vsftpd не принципиальны.
А вот pam_userdb существенно изменился в лучшую сторону, исправлены
ошибки, добавлены новые возможности.  Интерфейс администратора тоже
изменился, в частности, в той задаче, которую вы описываете, нужно
использовать use_first_pass вместо use_authtok, детали см. в
/usr/share/doc/Linux-PAM-*/txt/modules/pam_userdb.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Eugene Seppel]

[-- Attachment #1: Type: text/plain, Size: 1325 bytes --]

08.01.06, Dmitry V. Levin<ldv@altlinux.org> написал(а):
> > Уже лучше, но войти всё равно не удаётся.
> > Он пишет в лог:
> > pam_userdb[23004]: user 'my_user' granted acces
> > PAM-warn[23004]: service: vsftpd [on terminal: <unknown>]
> > PAM-warn[23004]: user: (uid=0) -> my_user [remote: ?nobody@127.0.0.1]
>
> А откуда pam_warn?  Что у вас в /etc/pam.d/other?
pam.d/other я вообще никогда не трогал, только то что было всегда в Мастере:
auth     required       pam_deny.so
auth     required       pam_warn.so
account  required       pam_deny.so
account  required       pam_warn.so
password required       pam_deny.so
password required       pam_warn.so
session  required       pam_deny.so
session  required       pam_warn.so


> > На всякий случай в аттаче мой /etc/vsftpd/conf
> Нулевого размера?
Прошу прощения. Кажется он не приложился. Прикладываю ещё раз. На
всякий случай есть на ftp://seppel.diverse.org.ru/pub/conf

> > /etc/pam.d/vsftpd :
> > auth required pam_userpass.so
> > auth required pam_userdb.so use_authtok db=/etc/vsftpd/login
>
> Я бы ещё как минимум добавил
> auth required pam_nologin.so
Добавил. Но всё-тоже самое...

> Вероятно ещё и account/session может понадобиться.
Скажите, пожалуйста, что именно писать?
PAM -- очень сложная штука, и Вы, как маинтайнер PAM, всяко лучше
разбираетесь чем я.

[-- Attachment #2: conf --]
[-- Type: application/octet-stream, Size: 518 bytes --]

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Metalking]

В сообщении от 7 Январь 2006 02:25 Dmitry V. Levin написал(a):
> /usr/share/doc/vsftpd-*/EXAMPLE/VIRTUAL_USERS/README?
> К сожалению, эта документация неполная.
Может имеет смысл закинуть действующую для Альт документацию по настройке 
vsftpd на wiki? Думаю так быстрее до действующего состояния документация 
доберется. 

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 435 bytes --]

On Sun, Jan 08, 2006 at 08:28:44PM +0300, Metalking wrote:
> В сообщении от 7 Январь 2006 02:25 Dmitry V. Levin написал(a):
> > /usr/share/doc/vsftpd-*/EXAMPLE/VIRTUAL_USERS/README?
> > К сожалению, эта документация неполная.
> Может имеет смысл закинуть действующую для Альт документацию по настройке 
> vsftpd на wiki?

А разве там есть что-то про pam_userdb?
Впрочем, всё равно никто не мешает этого сделать.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Anatoliy Lisjutin]

Здравствуйте!
В сообщении от Пятница 06 Январь 2006 21:16 Anatoliy Lisutin написал(a):
> Здравствуйте!
>
> В сообщении от Friday 06 January 2006 15:36 Eugene Seppel написал(a):
> > У меня возникла проблема при попытке настройки vsftpd для работы с
> > виртуальными пользователями.
>
> У меня аналогичная проблема с локальными пользователми, с  аналогичным
> выводом для себя.
> Compact 3.0

Вот  /etc/pam.d/vsftpd 
#%PAM-1.0
auth     required       pam_userpass.so
auth     include        system-auth-use_first_pass
auth     required       pam_listfile.so item=user sense=deny 
file=/etc/ftpusers
auth     required       pam_securetty.so
auth     required       pam_shells.so
auth     required       pam_nologin.so
account  include        system-auth
session  include        system-auth
password include        pam_deny.so

Что не так в нем , что локальных пользователей не пускает ?
Или это не в pam проблема?  Тогда дайте хоть намек где копать. 
А так fsftpd не работает , хоть тресни. Вот что стоит, может какого пакета 
не хватает?

pam-config-1.2.1-alt1
pam0_userpass-1.0-alt1
pam0_console-0.75-alt29
pam0_passwdqc-1.0.3-alt1
libpam0-0.75-alt29
pam0_tcb-0.9.8.9-alt1
pam-0.75-alt29
pam0-config-1.2.1-alt1
pam0_mktemp-1.0.1-alt1
vsftpd-1.2.2-alt3

-- 
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Anatoliy Lisjutin]

В сообщении от Вторник 10 Январь 2006 11:37 Anatoliy Lisjutin написал(a):
> Что не так в нем , что локальных пользователей не пускает ?
Частично прояснилось..
Создал нового пользователя с простым паролем, его vsftp пропустил. А у меня 
пароль содержит и пробел, может поэтому и не пропускает, хотя на М2.4  
работало , с таким же паролем, хотя взятом в кавычки. 

-- 
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Anatoliy Lisjutin]

В сообщении от Вторник 10 Январь 2006 13:24 Anatoliy Lisjutin написал(a):
> В сообщении от Вторник 10 Январь 2006 11:37 Anatoliy Lisjutin написал(a):
> > Что не так в нем , что локальных пользователей не пускает ?
>
> Частично прояснилось..
> Создал нового пользователя с простым паролем, его vsftp пропустил. А у
> меня пароль содержит и пробел, может поэтому и не пропускает, хотя на
> М2.4 работало , с таким же паролем, хотя взятом в кавычки.
Этот вопрос снят. Дело не в пароле. Просто я проверял работу fsftpd на 
пользователе , кому дано право на su - 

Других причин не вижу. Любой другой вновь созданый пользователь с таким же 
паролем проходит на фтп. 
Если это так , то это где-нибудь отражено в документации?
-- 
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru

Re[2]: [Comm] VSFTPdне работает с виртуальными пользователями

[Александр]

Добрый день Anatoliy Lisjutin 
> 
> Других причин не вижу. Любой другой вновь созданый пользователь с таким же 
> паролем проходит на фтп. 
> Если это так , то это где-нибудь отражено в документации?
Может подробно опишите весь процесс настройки на wiki - судя по архивам проблема настройки виртуальных пользователей всплывает довольно часто. А так хоть в одном месте висеть будет, да и отсылать на страничку проще будет :). 

Re: [Comm] VSFTPdне работает с виртуальными пользователями

[Anatoliy Lisjutin]

В сообщении от Вторник 10 Январь 2006 14:12 Александр написал(a):
> Добрый день Anatoliy Lisjutin
>
> > Других причин не вижу. Любой другой вновь созданый пользователь с
> > таким же паролем проходит на фтп.
> > Если это так , то это где-нибудь отражено в документации?
>
> Может подробно опишите весь процесс настройки на wiki - судя по архивам
> проблема настройки виртуальных пользователей всплывает довольно часто. А
> так хоть в одном месте висеть будет, да и отсылать на страничку проще
> будет :).
Да нет, я испытывал проблемы с локальными пользователями еще ;)
А виртуальные, это отдельная песня..
-- 
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1598 bytes --]

On Sun, Jan 08, 2006 at 06:45:33PM +0300, Eugene Seppel wrote:
> 08.01.06, Dmitry V. Levin написал(а):
> > > Уже лучше, но войти всё равно не удаётся.
> > > Он пишет в лог:
> > > pam_userdb[23004]: user 'my_user' granted acces
> > > PAM-warn[23004]: service: vsftpd [on terminal: <unknown>]
> > > PAM-warn[23004]: user: (uid=0) -> my_user [remote: ?nobody@127.0.0.1]
> >
> > А откуда pam_warn?  Что у вас в /etc/pam.d/other?
> pam.d/other я вообще никогда не трогал, только то что было всегда в Мастере:
> auth     required       pam_deny.so
> auth     required       pam_warn.so
> account  required       pam_deny.so
> account  required       pam_warn.so
> password required       pam_deny.so
> password required       pam_warn.so
> session  required       pam_deny.so
> session  required       pam_warn.so

Вы меня извините, но я ещё помню, что было в Мастеровском /etc/pam.d/other :)
Такой /etc/pam.d/other как у вас я видел в SuSE.

Тот факт, что в лог попали сообщения от pam_warn, сигнализирует о том, что
был использован /etc/pam.d/other, а это в свою очередь, произошло от того,
что в вашем /etc/pam.d/vsftpd, вероятно, не хватает записи про password
и/или session.  Добавьте её/их, по аналогии с account.

Посмотрите в первоначальную версию /etc/pam.d/vsftpd, которая была в
пакете, может ещё чего-то не хватает.

> > Вероятно ещё и account/session может понадобиться.
> Скажите, пожалуйста, что именно писать?

Я не могу сказать вам, что именно надо написать в конфигурационном файле.
Я просто объясняю, почему оно работает так или иначе.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Genix]

Dmitry V. Levin wrote:

Дим, позвольте вам предложить подписаться на sysadmins@ и продолжить эту 
дискусию там?

>>>>Уже лучше, но войти всё равно не удаётся.
>>>>Он пишет в лог:
>>>>pam_userdb[23004]: user 'my_user' granted acces
>>>>PAM-warn[23004]: service: vsftpd [on terminal: <unknown>]
>>>>PAM-warn[23004]: user: (uid=0) -> my_user [remote: ?nobody@127.0.0.1]
>>>
>>>А откуда pam_warn?  Что у вас в /etc/pam.d/other?
>>
>>pam.d/other я вообще никогда не трогал, только то что было всегда в Мастере:
>>auth     required       pam_deny.so
>>auth     required       pam_warn.so
>>account  required       pam_deny.so
>>account  required       pam_warn.so
>>password required       pam_deny.so
>>password required       pam_warn.so
>>session  required       pam_deny.so
>>session  required       pam_warn.so

-- 
У каждого в башке свои тараканы...

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Дворников Михаил]

Genix пишет:
> Dmitry V. Levin wrote:
> 
> Дим, позвольте вам предложить подписаться на sysadmins@ и продолжить эту 
> дискусию там?
> 
Не нахожу ссылок на sysadmins@ на www.altlinux.ru
Можно подписаться через почту, не заходя на сайт?
-- 
С уважением, Дворников Михаил.

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Genix]

Дворников Михаил wrote:

> Не нахожу ссылок на sysadmins@ на www.altlinux.ru

оп-с, будем исправляться ;)

> Можно подписаться через почту, не заходя на сайт?

попробуйте написать на
sysadmins-request@lists.altlinux.org
с темой subscribe или help

-- 
У каждого в башке свои тараканы...

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 696 bytes --]

Genix wrote:
> Дворников Михаил wrote:
> 
>> Не нахожу ссылок на sysadmins@ на www.altlinux.ru
> 
> оп-с, будем исправляться ;)
> 
>> Можно подписаться через почту, не заходя на сайт?
> 
> попробуйте написать на
> sysadmins-request@lists.altlinux.org
> с темой subscribe или help
> 
Лучше продолжайте дискуссию здесь.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************************************************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Eugene Seppel]

12.01.06, Dmitry V. Levin<ldv@altlinux.org> написал(а):
> Такой /etc/pam.d/other как у вас я видел в SuSE.
Прошу прощения. Я действительно когда-то добавлял pam_warn.so для
пущей паранойи.

Я сделал как Вы порекомендовали. С такой конфигурацией vsftpd пускает
виртуальных пользователей:

auth required pam_nologin.so
auth required pam_userpass.so
auth required pam_userdb.so use_authtok db=/etc/vsftpd/login
account  required      pam_permit.so

Скажите, пожалуйста, это нормальная конфигурация? Без ошибок?

Если это правильно с точки  зрения безопасности, то надо добавить её в
примеры по vsftpd и справочник пользователя. Чтобы не было проблем с
настройкой:)

Re: [Comm] VSFTPd не работает с виртуальными пользователями

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 798 bytes --]

On Thu, Jan 12, 2006 at 10:32:16PM +0300, Eugene Seppel wrote:
> 12.01.06, Dmitry V. Levin написал(а):
> > Такой /etc/pam.d/other как у вас я видел в SuSE.
> Прошу прощения. Я действительно когда-то добавлял pam_warn.so для
> пущей паранойи.

pam_warn.so добавляют не для паранойи а для отладки.

> Я сделал как Вы порекомендовали. С такой конфигурацией vsftpd пускает
> виртуальных пользователей:
> 
> auth required pam_nologin.so
> auth required pam_userpass.so
> auth required pam_userdb.so use_authtok db=/etc/vsftpd/login

Это нормально.

> account  required      pam_permit.so

Вообще-то pam_userdb поддерживает account, но ничего по существу в этом
режиме не делает.  Так что, пожалуй, можно оставить и pam_permit, хотя
и pam_userdb тоже должно работать.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]