FTP-Server einrichten

[diaz1983]

Ich müsste einen FTP Server einrichten, auf den User Daten NUR UPLOADEN und nicht downloaden oder löschen können...

Erlaubt sollte sein: Ordner anlegen + Upload aber sonst nichts...

Gibts datz ein Tutorial oder eine Anleitung?

System: OpenSolaris 2008.11

Deutsche Anleitungen bzw. Dokus bevorzugt aber englisch tut es auch...

[claus]

Ich bin mir nicht sicher, ob Du das Herunterladen wirklich unterbinden kannst, ich glaube eher nein.
Das Löschen sollte sich verhindern lassen, wenn die hochgeladenen Files nicht dem FTP User gehören, eventuell per umask?

Claus

[diaz1983]

Ok danke erstmal...

Hab aber noch ein paar allgemeine Fragen:
Unter welchem User mit welchen Rechten den Server laufen lassen...

Oder doch lieber einen VPC als Server...??

IP-Filter als zusätzliche Schutzbariere bzw. zum überwachen??

Kann ich Brutforce erkennen und blocke und vor allem womit? zB: Nach 10 fehlgeschlagenen Login-Versuchen IP-Adresse für 24h sperren oder so...

Für FTP + SSH wenn möglich...

Hab leider nicht viel Plan und wüsste auch nicht wonach ich in dokus, docs.sun.com oder google konkret suchen sollt

Und wie gut ist die Idee SSH mit Standard-Config und gutem Passwort (16 Stellen Gross-, Kleinschreibung, Zahlen und Sonderz.) direkt ins Netz zu stellen oder hat SSH in der Standard Config zu viele Schwachstellen...

Bin leider kein Admin und muss aber für meine Firma etwas zurechtbasteln...

Und da habe ich gehofft von erfahrenen Admins mal den ein oder anderen Tipp aus der Praxis zu bekommen, worauf man achten sollte...

Vor allem eine grobe Beschreibung wo was ca. Einstellen wäre Super, damit ich mich dann mit etwas konreteren Vorstellungen als "FTP Server zum lufen kriegen" durch die dokus und docs wühlen kann...

[Ebbi]

Also unter Windows (jaja... ) kann ich in der Freeware Serv-U FTP folgendes einstellen:

Code: [Auswählen]

Files
 [ ] Read
 [X] Write
 [ ] Append
 [ ] Delete
 [ ] Execute

Directories
 [ ] List
 [X] Create
 [ ] Remove

Sub-directories
 [ ] Inherit
Wenn das bei einer Windows-Freeware geht, muss das erst recht unter Solaris gehen.

[claus]

man ftpd und zeige es mir?

[Drusus]

Moin,

das geht auch mit dem Solaris ftpd. Der Trick daran: einfach die neu erstellten Daten einem anderen User zuteilen. Dadurch kann dann derjenige, der den Upload gemacht hat selber nicht mehr drauf zugreifen.
Beispiel fuer Solaris 10:

Code: [Auswählen]

# ftpconfig /ftp
# chmod 777 /ftp/pub
# vi /etc/ftpd/ftpaccess
[...]
defumask 0000 anonymous
upload class=anonymous /ftp * yes nobody nogroup 0400 dirs 0777
[...]

In dem Beispiel natuerlich die beiden Configzeilen zu der existierenden /etc/ftpd/ftpaccess Datei hinzufuegen.
Fertig ist ein "upload only anonymous ftp server" (die anderen Default-Einstellungen verbieten schon ein delete, umask, rename etc.).

Eine andere Alternative waere mit "noretrieve class=anonymous *" zu arbeiten. Das unterbindet auch jedweden Download.
Naeheres findet sich in "man ftpaccess".

Tschau,
  Drusus.

[claus]

Ok, es geht doch. Wieder was gelernt.

Danke, Drusus!

[diaz1983]

Moin,

das geht auch mit dem Solaris ftpd. Der Trick daran: einfach die neu erstellten Daten einem anderen User zuteilen. Dadurch kann dann derjenige, der den Upload gemacht hat selber nicht mehr drauf zugreifen.
Beispiel fuer Solaris 10:

Code: [Auswählen]

# ftpconfig /ftp
# chmod 777 /ftp/pub
# vi /etc/ftpd/ftpaccess
[...]
defumask 0000 anonymous
upload class=anonymous /ftp * yes nobody nogroup 0400 dirs 0777
[...]

In dem Beispiel natuerlich die beiden Configzeilen zu der existierenden /etc/ftpd/ftpaccess Datei hinzufuegen.
Fertig ist ein "upload only anonymous ftp server" (die anderen Default-Einstellungen verbieten schon ein delete, umask, rename etc.).

Eine andere Alternative waere mit "noretrieve class=anonymous *" zu arbeiten. Das unterbindet auch jedweden Download.

Tschau,
  Drusus.

Danke... das hat SUPER geklappt...

Unter docs.sun.com hab ich auf gefunden wie man FTP-Befehle beschränken kann...

Hab nur noch ein erhebliches Sicherheitsproblem...

Ich habe einen FTP-User erstellt und mal sein Home-Dir nach /DatenPool/FTPserver/ verlegt. Upload klappt auch super er kann auch keine Daten downloaden ABER er kann in das übergeordnete Verz. gehen und zB. nach /etc config-daten uploaden

Wie kann ich dem User Verbieten in der übergeordnete Verz. zu wechseln? Hab schon eifrig rumgesucht... Entweder ich habs übersehen oder ich such an der falschen stelle...

Hier ist meine ftpaccess:

Code: [Auswählen]

# ident "%Z%%M% %I% %E% SMI"
#
# FTP server configuration file, see ftpaccess(4).
#

class realusers real *
class guestusers guest *
class anonusers anonymous *

loginfails 3
passwd-check trivial warn
private no
shutdown /etc/ftpd/shutdown.msg
# email user@hostname
# guestuser username
# rhostlookup no

keepalive yes
recvbuf 65536 real,guest,anonymous
sendbuf 65536 real,guest,anonymous
# flush-wait no anonymous
# passive ports 0.0.0.0/0 32768 65535
# timeout data 600
# timeout idle 300

banner /etc/ftpd/banner.msg
greeting brief
message /etc/ftpd/welcome.msg login
message .message cwd=*
readme README* login
readme README* cwd=*
# quota-info *

chmod no real,guest,anonymous
delete no real,guest,anonymous
overwrite no anonymous
rename no real,guest,anonymous
umask no real,guest,anonymous

compress yes realusers guestusers anonusers
tar yes realusers guestusers anonusers

path-filter guest,anonymous /etc/ftpd/filename.msg ^[[:alnum:]._-]*$ ^[.-]

noretrieve lass=real *

upload class=anonusers    * *   no  nodirs
# upload class=anonusers    * /incoming yes ftpadm ftpadm 0440 nodirs

# log commands real,guest,anonymous
# log security real,guest,anonymous
# log transfers real,guest,anonymous inbound,outbound
# xferlog format %T %Xt %R %Xn %XP %Xy %Xf %Xd %Xm %U ftp %Xa %u %Xc %Xs %Xr

# limit-time anonymous 30
# limit anonusers 10 Wk0730-1800   /etc/ftpd/toomany.msg
# limit anonusers 50 SaSu|Any1800-0730 /etc/ftpd/toomany.msg


Ich hatte da noch eine Idee...


pfexec chmod 755 /DatenPool/FTPSERVER/..

Aber wenn ich das mache ist zwar das Verz. /Datenpool noch auf chmod 755 aber wenn ich mich verbinde lande ich direkt auf / und nicht auf /DatenPool/FTPSERVER...

Irgendwie sollte man das ja mit Rechten hinbekommen...


Bin auf nochwas gestoßen...

http://docs.sun.com/app/docs/doc/806-4076/6jd6amrd8?l=de&a=view&q=ftp+root+dir

So sollte sich das lösen lassen bzw. zumindest der Upload in diverse Ordner unterbunden werden und Uploads nur in den Ordner /DatenPool/FTPSERVER erlaubt werden... aber is komm damit nicht klar... villeicht könnte mir ein erfahrenerer User mal eine Musterzeile Posten...

User kunde sollte nur in den Ordner /DatenPool/FTPSERVER uploaden dürfen...

Wenn geht sollte er auch den Ordner /DatenPool/FTPSERVER nicht verlassen können wäre aber egal solange er nichts uploaden kann...

Danke...