Enno Geschrieben 8. Juli 2008 Geschrieben 8. Juli 2008 Hi zusammen, ich soll für uns in der Firma einen FTP Server aufsetzen. Dachte mir, nimmst ne Linux Distri und dort nen schicken kleinen FTP Server drauf. Habe dann den pure-FTP gefunden. Das mit den Virtuellen Usern gefällt mir, das die nur für FTP existieren. Und das er die aus einer Datei auslesen kann. Sind bei uns einige User die wir auf dem Server brauchen. Das ganze soll genutzt werden um mit Kunden und Lieferanten Daten auszutauschen. Die sind mittlerweile leider für Mail zugroß geworden. Hmm. Nun habe ich das Problem, das ich mich zwar mit root an den FTP anmelden kann. Aber ich kann keinen User anlegen mit pure-pw useradd. Kann mir entweder einer hier weiterhelfen, oder mir nen anderen einfach zu administrierenden FTP Server für Linux sagen der Virtuelle User, Bandwide limits und Quotas kennt ?? Danke schonmal Gruß Enno Zitieren
geloescht_JesterDay Geschrieben 8. Juli 2008 Geschrieben 8. Juli 2008 wie wär's mit ProFTPd? Wie kann ich User hinzufügen ? per Standard koennen sich alle Systemuser per FTP anmelden. Wenn man nun neue User anlegen möchte, dann kann man einfach diese am System anlegen. Wenn man vermeiden möchte, dass die sich "richtig" am System anmelden können, dann kann man die shell auf "/bin/false" legen - dann ist nur noch FTP möglich (dann jedoch "RequireValidShell off" in die ProFTPD.conf schreiben. Die User kann man dann einfach per YAST (SuSE) oder von der Console mittels "useradd" anlegen. Wenn man mehr User anmelden möchte, oder sich das relativ häufig ändern, dann empfehle ich die Userverwaltung mittels extra Files (AuthUserfile) oder per SQL (Mod_SQL). (der letzte Abschnitt ) Zitieren
Crash2001 Geschrieben 8. Juli 2008 Geschrieben 8. Juli 2008 @Enno: Denk dran, dass per FTP die Daten unverschlüsselt übers Internet übertragen werden und die somit jeder mitlesen kann, der den Traffic sniffen kann. Je nachdem was das für Daten sind, würde ich also dringend von dieser Möglichkeit abraten. Wenn es ein FTP sein muss, dann denk mal drüber nach, ob ein SFTP-Server nicht auch geht. Dabei ist der gesamte Traffic per SSH verschlüsselt, die Funktionen sind ansonsten die gleichen. Zitieren
Enno Geschrieben 8. Juli 2008 Autor Geschrieben 8. Juli 2008 Jep denk ich dran. SFTP sollte es schon sein. aktuell läuft aber nen SFTP auf der Kiste und ich weis nicht welcher! der pureftpd ist deinstalliert. der ProFTPd ist noch nicht deinstalliert und trotzdem kann ich mich per SFTP verbinden. Irgendwie komisch das ganze. Zitieren
Crash2001 Geschrieben 8. Juli 2008 Geschrieben 8. Juli 2008 Wenn er noch nicht deinstalliert ist, kann er es ja durchaus sein... über Proftp geht jedenfalls definitiv auch SFTP. Zitieren
Enno Geschrieben 8. Juli 2008 Autor Geschrieben 8. Juli 2008 aeh, andersrum. ich meinte proftpd ist noch nicht installiert. Zitieren
hades Geschrieben 8. Juli 2008 Geschrieben 8. Juli 2008 (bearbeitet) sftp ist hier das auf ssh basierende ftp (geht auch ueber den SSH-Port) und hat mit einem ftp-daemon nichts zu tun. ssh ftp wird gern mit dem FTP mit TLS/SSL-Verschluesselung (wobei nur der Control- und nicht der Daten-Kanal verschluesselt ist) verwechselt. D.h. schau in der sshd.conf nach ob dort sftp-server geladen wird. Bearbeitet 8. Juli 2008 von hades Zitieren
Enno Geschrieben 10. Juli 2008 Autor Geschrieben 10. Juli 2008 gibt bei mir keine sshd.conf. find / -name sshd.conf findet nix. wo muss die denn sein? bin auf Linux der absolute anfänger. Zitieren
Crash2001 Geschrieben 10. Juli 2008 Geschrieben 10. Juli 2008 Unter Debian heisst das sshd_config das file und liegt unter /etc/ssh/ . Zitieren
Enno Geschrieben 10. Juli 2008 Autor Geschrieben 10. Juli 2008 ach ich hab ne opensuse 11 also meint ihr die beiden Zeieln hier: # override default of no subsystems Subsystem sftp /usr/lib/ssh/sftp-server zeile zwei auskommentieren? richtig? Zitieren
hades Geschrieben 10. Juli 2008 Geschrieben 10. Juli 2008 Warum willst Du das abschalten? Damit Du ein im Vergleich zum SSH FTP unsicheres FTP mit TLS/SSL nutzen kannst? FTP mit TLS/SSL verschluesselt Dir nur den FTP Control Channel, d.h. nur die Anmeldung und die fuer den FTP Transfer notwendigen Befehle werden verschluesselt. Der Datentransfer auf dem FTP Data Channel bleibt unverschluesselt und kann so mitgeschnitten werden. SSH FTP ist dagegen komplett verschluesselt. Bei SSH FTP wird im Gegensatz zum FTP auch nur ein Port (SSH-Port) genutzt. Bei SSH FTP kannst Du alle mit SSH nutzbaren Authentifizierungen nutzen. Z.B. neben User+Password auch Zertifikate Allerdings musst Du bei SSH FTP etwas mehr Aufwand betreiben, um die Nutzer in ihr eigenes (bzw. bestimmtes) Verzeichnis einzusperren. Mit der standard SSH FTP Konfiguration koennen sich Nutzer auf dem System frei bewegen und haben so z.B. auch (lesenden) Zugriff auf / und /etc. siehe Chroot With Rssh For Ssh/sftp - openSUSE Forums siehe HOWTO SFTP Server (chrooted, without shell) - Gentoo Linux Wiki siehe Howto create chrooted Openssh SFTP without shell access through rssh. - Ubuntu Forums (Windows-)Clientprogramme fuer SSH FTP sind z.B.: WinSCP Filezilla Zitieren
Enno Geschrieben 10. Juli 2008 Autor Geschrieben 10. Juli 2008 wobei ich heut erfahen habe das auch unverschlüsseltes ftp gehen muss. immerhin kann ich so Firmchen wie Daimler, EvoBus, Liebherr etc. schlecht sagen sie können nur noch sicheres FTP mit uns machen. Die Jungs von der EDV husten mir was. Leider. Zitieren
geloescht_JesterDay Geschrieben 10. Juli 2008 Geschrieben 10. Juli 2008 immerhin kann ich so Firmchen wie Daimler, EvoBus, Liebherr etc. schlecht sagen sie können nur noch sicheres FTP mit uns machen. Die Jungs von der EDV husten mir was. Leider. Das ist ja so als wenn dir ein Firmchen wie Daimler sagen würde, wir bieten unsere Autos ab jetzt auch ohne Airbags an, weil wir den Leuten ja nicht erzählen können, dass sie die Airbags brauchen könnten. :confused: Das ist ein Programm was genutzt werden muss, sonst ist es für die kein Unterschied (bis auf die erhöhte Sicherheit, bzw überhaupt Sicherheit). Zitieren
hades Geschrieben 10. Juli 2008 Geschrieben 10. Juli 2008 (bearbeitet) wobei ich heut erfahen habe das auch unverschlüsseltes ftp gehen muss. Meist sind diejenigen, die solche Entscheidungen treffen, keine Techniker. Erzaehle denen Deine Bedenken: - Mitlesen von Usernamen und Kennwoertern - Abfangen von sensiblen Unternehmens-Daten Ich glaube, dass spaetestens beim letzten Punkt diejenigen hellhoerig werden. Zur Not tut es auch ein Wireshark-Mitschnitt gegen einen Test-FTP-Server und schon hast Du auch etwas zum Zeigen. Auch ist das Konfigurieren von Firewalls einfacher, wenn nur ein Port (SSH FTP) anstatt zwei (FTP) fuer ein Protokoll genutzt werden. Wenn ein neues System eingefuehrt werden soll, dann besteht immer die Moeglichkeit, dass Du mit entsprechender Argumentation auch als vermeintlich Kleinerer etwas durchsetzen kannst. Ansonsten wenn Deine Einwaende nichts bringen sollten, dann laesst Du Dir es unterschreiben, dass Du im Falle des Datendiebstahls nicht haftbar gemacht werden kannst. Wenn Du unbedingt unverschluesseltes FTP haben musst: Installiere Dir Proftp. Bearbeitet 10. Juli 2008 von hades Zitieren
Youser Geschrieben 11. Juli 2008 Geschrieben 11. Juli 2008 *G* zumal ja die meisten Unternehmen auch nur verschlüsselten E-Mail-Verkehr zulassen. *ironieoff* Was da jeden Tag unverschlüsselt durchs Netz wandert dürfte auch von gewisser Sensibilität sein. Kratzt die chefetage trotzdem nicht. Also wenn der Kunde auf unverschlüsselt besteht, dann wärs mir erstmal egal, ist ja sein Problem. edit: Zumal die nacher sowieso ne unverschlüsselte Mail schicken in der steht, dass sie ihren Zettel mit den Zugangsdaten verloren haben und gern per Mail die Daten erneut bekommen würden. Oder sie rufen (uhh unverschlüsseltes Telefongespräch) an und wollen das Passwort wissen. Zitieren
geloescht_JesterDay Geschrieben 11. Juli 2008 Geschrieben 11. Juli 2008 edit: Zumal die nacher sowieso ne unverschlüsselte Mail schicken in der steht, dass sie ihren Zettel mit den Zugangsdaten verloren haben und gern per Mail die Daten erneut bekommen würden. . Dazu gibt es bei gescheiter Software die Funktion ein neues PW zu erzeugen und das dem User zu schicken mit der Aufforderung (manchmal auch dem Zwang) das zu ändern nach dem Einloggen. Eine Software die dir dein Passwort zusenden kann ist eh erstmal suspekt, weil das PW dann ja "lesbar" (und sei es durch einen Code o.ä. geschützt) gespeichert ist. Zitieren
Youser Geschrieben 11. Juli 2008 Geschrieben 11. Juli 2008 Dazu gibt es bei gescheiter Software die Funktion ein neues PW zu erzeugen und das dem User zu schicken mit der Aufforderung (manchmal auch dem Zwang) das zu ändern nach dem Einloggen. Eine Software die dir dein Passwort zusenden kann ist eh erstmal suspekt, weil das PW dann ja "lesbar" (und sei es durch einen Code o.ä. geschützt) gespeichert ist. Das weiß aber der User der solche Mails schreibt nicht . Zitieren
Enno Geschrieben 13. Juli 2008 Autor Geschrieben 13. Juli 2008 so also ich bin weitergekommen. hab jetzt doch den pureftp am laufen. er nimmt auch ftp logins an. man kann dateien die in dem verzeichnis stehen auch runterladen. allerdings kann man als user nix hochladen. dann wird man sofort rausgeschmissen. ausserdem dauert das einloggen beim ftp extremst lange. könnt ihr ja mal ausprobieren. 80.81.26.11 user: 51207 passwd: test Danke mal für weitere Tips und hilfen. Gruß Enno Zitieren
Amstelchen Geschrieben 13. Juli 2008 Geschrieben 13. Juli 2008 könnt ihr ja mal ausprobieren. wenn ich von modus PASV auf aktiven modus gehe, bin ich gleich drin. evtl ein firewallproblem? s'Amstel Zitieren
Enno Geschrieben 13. Juli 2008 Autor Geschrieben 13. Juli 2008 hmm. ok das mit der firewall war das problem bei der geschwindigkeit. hab sie auf dem ftp server mal deaktiviert nun gehts auch im passiv mode schnell. allerdings kann ich immer noch nichts hochladen. Zitieren
Amstelchen Geschrieben 13. Juli 2008 Geschrieben 13. Juli 2008 stell mal auf verbose logging und schau ins logfile bzw. ins syslog. s'Amstel Zitieren
geloescht_JesterDay Geschrieben 14. Juli 2008 Geschrieben 14. Juli 2008 allerdings kann ich immer noch nichts hochladen. Hat der Benutzer (ftp oder eingeloggt) Schreibrechte im Verzeichnis? Zitieren
Enno Geschrieben 14. Juli 2008 Autor Geschrieben 14. Juli 2008 51207 ist nen virtueller user. der BS User der dahinterliegt, die Gruppe und Jeder haben auf das Verzeichnis momentan schreibrechte. das mit dem logging schalte ich mal ein teste es und poste den logauszug hier. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.