[Tech] Alias sotto Proftpd

Gianni Bianchini giannibi@firenze.linux.it
Gio 8 Mar 2001 18:21:11 CET


On Thu, Mar 08, 2001 at 11:36:10AM +0100, carlo.orecchia@ritram.it wrote:

> In pratica và benissimo se:
> 
> 
> Dir1___
>         |
>         |
>         -----Dir1.1_______Dir1.1.1
>         |               | 
>         |               |_Dir1.1.2
>         | 
>         |__Dir1.2
> 
> 
> Collegandomi a  Dir1.1 vedo le sue sottodir ma non posso assoultamente 
> risalire e vedere Dir1 o Dir1.2.
> Spero si legga.

Non ho capito bene se il fatto che non puoi tornare a Dir1 sia un
problema o un requisito. Se e' un problema (anche se non capisco come
possa succedere con le impostazioni di default) basta settare la root
directory dell'ftp server a monte di questa con DefaultRoot in
/etc/proftpd.conf (vedi dopo).
Se e' un requisito, setta

DefaultRoot /Dir1.1

in questo modo non sara' possibile ad alcun utente risalire a monte.

Inoltre, se vuoi stabilire una home degli utenti nell'area ftp diversa
dalla loro home originale (il che e' cosa buona) crea un file con la
sintassi di /etc/passwd con una entry per ogni utente autorizzato
all'uso di ftp avente nel campo home il path _assoluto_ dell'area ftp
ad esso riservata. Piu' utenti possono avere la stessa home. I diritti
di sono dati dai diritti standard di sistema per cui e' bene anche che
per ogni utente
ftp ci debba essere un clone in /etc/passwd anche se disabilitato.
Per far vedere a proftpd il nuovo file di autenticazione usa ad es.

AuthUserFile /Dir1.1/etc/passwd

Attenzione, quel file contiene anche le passwd usate per
l'autenticazione ftp, per cui non e' forse il caso di includerlo sotto
Dir1.1 . Tuttavia non ho idea se proftpd esegua immediatamente una
chroot verso DefaultRoot, nel qual caso non puoi spostarlo fuori da
questa jail.
Ultima cosa: per far questo (come per fare ftp non anonimo in
generale) devi girare proftpd inizialmente come root (sic!)

User	root
Group	root

Per finire ti consiglio di considerare anche altre alternative (tipo
muddleftpd che puo' girare senza privilegi gestendosi autonomamente i
diritti a prezzo di rendere scrivibili all'utente sotto cui gira il
server tutti i file) o meglio usare scp. In ogni caso e' assolutamente
il caso di mantenere due file di autenticazione separati per ftp e
servizi di shell (che immagino vengano forniti solo sotto ssh) visto
che l'autenticazione ftp avviene in testo chiaro ed in generale con la
shell si possono fare molti piu' danni.

Ciao.
Gianni.


--
   Gianni Bianchini - giannibi@firenze.linux.it
                      giannibi@iname.com





Maggiori informazioni sulla lista flug-tech