Не работает anonymous доступ с acl (Proftpd-1.3.3e)
Demontager 11 июля, 2011 - 21:43
У меня проблема с работой Proftpd совместно с acl. Если acl при сборке отключить, то всё нормально, но я именно хочу использовать acl для блокировки нежелательных IP.
У меня работает доступ с acl от пользователя, но не работает от Anonymous. Вот это в логах соединения:
Status: Connecting to 192.168.56.1:21... Status: Connection established, waiting for welcome message... Response: 220 ProFTPD 1.3.3e Server (ProFTPD Gentoo Server) [192.168.56.1] Command: USER anonymous Response: 331 Anonymous login ok, send your complete email address as your password Command: PASS ************** Response: 530-Unable to set anonymous privileges. Response: 530 Login incorrect. Error: Critical error Error: Could not connect to server
Когда acl флаг выключен, то anonymous подключается нормально и попадает в /home/ftp:
Status: Connecting to 192.168.56.1:21... Status: Connection established, waiting for welcome message... Response: 220 ProFTPD 1.3.3e Server (ProFTPD Gentoo Server) [192.168.56.1] Command: USER anonymous Response: 331 Anonymous login ok, send your complete email address as your password Command: PASS ************** Response: 230 Anonymous access granted, restrictions apply Command: OPTS UTF8 ON Response: 200 UTF8 set to on Status: Connected Status: Retrieving directory listing... Command: PWD Response: 257 "/" is the current directory Command: TYPE I Response: 200 Type set to I Command: PASV Response: 227 Entering Passive Mode (192,168,56,1,151,22). Command: MLSD Response: 150 Opening ASCII mode data connection for MLSD Response: 226 Transfer complete Status: Directory listing successful
Вот сам конфиг proftpd.conf
ServerName "ProFTPD Gentoo Server" ServerType standalone DefaultServer on RequireValidShell off AuthPAM off AuthPAMConfig ftp # Listen on the standard FTP port 21. Port 21 # New directories and files should not be group or world writable. Umask 022 # To prevent DoS attacks set the maximum number of child processes # to 30. If you need to allow more than 30 concurrent connections # at once simply increase this value. MaxInstances 30 # The server will run under ftp/ftp. User ftp Group ftp # Every FTP sessions is "jailed" into the user's home directory. DefaultRoot ~ # Generally files are overwritable. AllowOverwrite on # Disallow the use of the SITE CHMOD command. <Limit SITE_CHMOD> DenyAll </Limit> # A basic anonymous FTP account without an upload directory. <Anonymous ~ftp> User ftp Group ftp # Clients can login with the username "anonymous" and "ftp". UserAlias anonymous ftp # Limit the maximum number of parallel anonymous logins to 10. MaxClients 10 # Prohibit the WRITE command for the anonymous users. <Limit WRITE> DenyAll </Limit> </Anonymous> <Limit LOGIN> # These are trusted addresses Allow from 192.168.56.3 Allow from trusted-domain.com # Everyone else is denied DenyAll </Limit>
Права на /home/ftp:
drwxrwxr-x 2 ftp ftp 4096 Feb 28 12:54 ftp
Proftpd собран так:
[ebuild R ] net-ftp/proftpd-1.3.3e USE="acl authfile ban caps ctrls ident ldap mysql ncurses nls pam ratio readme rewrite sftp shaper sitemisc softquota ssl tcpd -case -clamav -deflate -doc -exec -hardened -ifsession -ipv6 -kerberos -postgres -radius (-selinux) -trace -vroot -xinetd" 0 kB
»
- Для комментирования войдите или зарегистрируйтесь
Если запускаю proftpd в debug
Если запускаю proftpd в debug режиме, то в логах видно что anonymous пытается зайти в ~/ftp, но права не позволяют. Но права на ~/ftp итак уже почти максимальные, тем не менее как я и писал выше, если acl флаг отсутвует при сборке, то тогда anonymous нормально попадает в ~/ftp
Лог с несколькими попытками подключения http://pastebin.com/ahp7wJEV
Кажется, было уже на этом
Кажется, было уже на этом форуме, поищи.
На память, если ты собираешь proftpd с +acl
то и файловую систему должна быть с acl
вот здесь разбирали
Не знаю что ему ещё надо, но
Не знаю что ему ещё надо, но у меня всё равно доступ как anonymous не работает даже когда на разделе стоит опция acl. Я включил acl на /home разделе:
А если от юзера захожу, то всё нормально.
Разрешения для папки /home/ftp , поставил уже максимум что возможно, со всеми правами
Нашёл в чём проблема была, у
Нашёл в чём проблема была, у меня в ядре была отключена поддержка ACL. Теперь всё работает, доступ как anonymous и как user и при этом acl флаг включен. Но всётаки странно всё равно, получается нужно обязательно включать поддержку acl для anonymous в ядре, а если просто user, то acl и без включения в ядре работает, я имею ввиду ограничитель по IP. Интересно как обстоят дела на ядре у Debian based систем, где ядро как правило никто не трогает, там ACL в ядре активирован на автомате ?