FTP mit root

[jahlives]

Wieso wäre der Zugang für dich auf https:5001 zu deiner DS ein Sicherheits-Problem?

Weil die Scripte unter /phpsrc direkt angesprochen werden können ohne den Umweg über die cgi. Oder irre ich mich da?

 

[itari]

Hatte ich da nicht mal was gegen geschrieben: Wie man seine Seiten absichert? Probiert das doch mal aus.

itari

 

[jahlives]

Hatte ich da nicht mal was gegen geschrieben: Wie man seine Seiten absichert? Probiert das doch mal aus.

Aber damit ist dann kein Zugriff von aussen möglich und darum ging es doch. Das kommt doch auf das gleiche raus wie die Ports auf dem Router geschlossen zu halten. Die 3rd Party Applications sollen von aussen erreichbar sein, ABER nur bei Zugriff via /webman/index.cgi sprich nach erfolgreicher Authentifizierung am DS-Manager. Solange ich keine solche Lösung habe lasse ich meine Routerports lieber zu
@mr. winterbottom
Hier meine config so wie vsftpd bei mir zu Hause läuft

//MediaServer~# cat /opt/etc/xinetd.conf
# Copyright 1999-2004 Gentoo Foundation
# Distributed under the terms of the GNU General Public License v2
# Sample configuration file for xinetd

defaults
{
        instances      = 60
        log_type       = SYSLOG authpriv info
        log_on_success = HOST PID
        log_on_failure = HOST
        cps            = 25 30
}

service ftp
{
        socket_type             = stream
        wait                    = no
        user                    = root
        server                  = /opt/sbin/vsftpd
        server_args             = /opt/etc/vsftpd.conf
        disable                 = no
        nice                    = 10
}
includedir /opt/etc/xinetd.d

Gruss

tobi

 

[mr. winterbottom]

@jahlives

Danke zunächst
Aber, wie zu erwarten war rennt der vsftpd bei nicht

mr. winterbottom

 

[jahlives]

Aber, wie zu erwarten war rennt der vsftpd bei nicht

der soll ja auch nur laufen
Hast du also probiert mit einem FTP Client auf den Server zu verbinden? Die Conf hast du sicher angepasst? Schonmal probiert manuell zu starten mit dem init Script? Irgendwelche Fehlermeldungen?

 

[mr. winterbottom]

jo mit flashfxp komm ich nicht ran

login incorrect

beim synology bin ich tadellos drauf gekommen!

ich habe an der vsftpd.conf noch nix geändert

mr. winterbottom

 

[itari]

Aber damit ist dann kein Zugriff von außen möglich und darum ging es doch.

2 Bemerkungen:

(1) Wenn man damit die /phpsrc absichert, kann man von innen noch drauf, wenn im Disk Station Manager die 3rd-parties entsprechend angepasst werden (IP-Adresse in der application.cfg).

(2) Das ist ein Anleitung ... man darf die durchaus flexibel erweitern ... kannst ja gezielt IP-Adressen oder andere Merkmale abfangen und verbieten oder zulassen. Damit wäre durchaus zu realisieren, dass du von deinem Firmen-PC auf die DS kannst, aber sonst niemand.

itari

 

[jahlives]

@mr. winterbottom
Geht's mit gar keinem Account oder nur mit einem bestimmten nicht? Wie sieht deine vsftpd.conf aus? Wenns mit root nicht klappen will, hast du es schon mit admin versucht?
@itari
ich denke ich werde es in Richtung 2) versuchen

 

[mr. winterbottom]

@mr. winterbottom
Geht's mit gar keinem Account oder nur mit einem bestimmten nicht? Wie sieht deine vsftpd.conf aus? Wenns mit root nicht klappen will, hast du es schon mit admin versucht?

Moin leider geht KEIN Account (root, admin, meinname)
Ich habe die xinetd.conf von Dir 1:1 übernomen und die vsftpd.conf ist von mir "unberührt"

Das gab "ps -a | grep xinetd" aus:

10463 root 668 S /opt/sbin/xinetd
10472 root 220 S grep xinetd

mr winterbottom

 

[mr. winterbottom]

STOPP

gerade eben hat der User "admin" funktioniert !!!!

Aber wieso komme ich als normaler User nicht mehr drauf?

mr. winterbottom

 

[jahlives]

Aber wieso komme ich als normaler User nicht mehr drauf?

Schau dir mal die vsftpd.conf an! Das kann verschiedenste Gründe haben z.B. gibt es eine Config Option, dass ein Login nur möglich ist, wenn eine gültige Shell in passwd für den User eingetragen ist. Haben denn diese User eine gültige Shell in /etc/passwd und ist diese Shell auch unter /etc/shells eingetragen?
Wenn diese Config Option nicht gesetzt wird, dann wird der Default Wert verwendet und der setzt eine gültige Shell für den User voraus.

 

[Chrunchy]

Mal ne einfache Frage, auch wenn das ganze ja als Sicherheitsfeature standardmäßig abgeschaltet ist.

Wäre es nicht einfacher gewesen den user 'root' aus der ftpusers zu löschen?

IMO ging es doch zunächst nur darum als root nen ftp-zugang zu kriegen, oder?

 

[jahlives]

Jein
Ein vollwertiger Root Zugang inkl Schreibrechten ist mehr als ein Sicherheitsloch bei einem FTP Server. Besser ist es imho einen User zu benutzen, der Rootrechte zu lesen aber nicht zum Schreiben hat. Dazu habe ich mir bei meinem vsftp Server den User admin der Gruppe root zugeordnet d.h. der admin hat volle Leserechte ABER keine Schreibrechte. Wenn ich etwas auf dem Server schreiben will (was root Rechte benötigt), dann via Konsole oder Samba

 

[itari]

Mal ne einfache Frage, auch wenn das ganze ja als Sicherheitsfeature standardmäßig abgeschaltet ist.

Wäre es nicht einfacher gewesen den user 'root' aus der ftpusers zu löschen?

IMO ging es doch zunächst nur darum als root nen ftp-zugang zu kriegen, oder?

Bist du sicher, dass das damit geht. Ich kann trotz Löschung von root nicht einloggen in den Standard-ftpd.

Oder hast du noch mehr verstellt?

itari

 

[jahlives]

Bist du sicher, dass das damit geht. Ich kann trotz Löschung von root nicht einloggen in den Standard-ftpd.

Ev musst du nach getaner Änderung (in der /etc/ftpusers) den FTP neustarten. Könnte mir gut vorstellen, dass die Conf Dateien nur beim Start des Dämons geladen werden. Danach bedient sich ftpd vermutlich einer Kopie der beim Start geladenen Datei im Speicher

 

[itari]

Ev musst du nach getaner Änderung (in der /etc/ftpusers) den FTP neustarten. Könnte mir gut vorstellen, dass die Conf Dateien nur beim Start des Dämons geladen werden. Danach bedient sich ftpd vermutlich einer Kopie der beim Start geladenen Datei im Speicher

Hab schon nicht vergessen neu zu starten - ging aber trotzdem nicht.

itari

 

[Chrunchy]

Also ich muss gestehen, ich hatte es vorher nicht getestet.

Hab den Test nun nachgeholt und muss sagen, es klappt nicht, wobei ich das Passwort von admin verwendet habe, ich mir aber durchaus vorstellen kann, dass es ein abweichendes sein könnte.

Gut, ziehe hiermit meinen Hinweis zurück. Sry.