OS X 10.3 ftp rajoite?

[seba108]

Vanha G4 powermacci ois tarkoitus pistää serveriksi ja tarttisin vähäsen neuvoja.
Olen saannut ftp tiedostojaon toimimaan niin kuin pitää "kai", mutta nyt haluasin rajata
tiettyjen käyttäjien pääsyt vain yhteen kansioon (ulkoiseen asemaan). Eli kun yhdistän
Cyberduckilla koneeseen se yhdistää käyttäjän koti kansioon, josta voi lähteä seikkailemaan minne lystää.
Eli miten tällainen rajoitus onnistuu OS X 10.3.9? Pitäiskö mun käyttää jotain erillistä serverisoftaa, kuten
JSCAPE Secure FRP Serveria?

[TheKraken]

Tuommoinen rajaus onnistuu juurikin jollain ulkoisella softalla. Teoriassa toki saa tehtyä ilmankin, mutta vaatii sen tason säätämistä, että mieluummin itse kyllä jollain softalla hoidan.

Pute-FTPd:tä käytän itse. Suosittelen lämpimästi.

[morbusg]

Koodi: Valitse kaikki

sudo echo haluttu_tunnus > /etc/ftpchroot

?

Koodi: Valitse kaikki

man ftpchroot

kertoo lisää.

eli siis tuo ftpchroot -tiedosto pitää sisällään käyttäjät joiden ftp-sessio halutaan rajata (chroot on CHange Root, l. "muuta juurihakemisto"). Oletuksena pelkällä tunnuksen listauksella kys. tiedostossa rajataan kys. tunnus omaan kotihakemistoonsa, mutta sitä voi halutessaan muuttaa chroot -direktiiviä muuttamalla (onnistuu myös ftpusers -tiedostoon). Mulle jäi vähän epäselväksi kumpaa tässä haetaan, mut tosiaan jos omaan kotihakemistoon haluaa rajoittaa, niin tuon ylläolevan pitäisi täyttää tehtävä.

Ja jos vähän vielä lisää puidaan tuota komentoa niin aluksi "echo" -ohjelma ulostaa syötteen (syöte haluttu tunnus), joka seuraavaksi uudelleenohjataan tiedostoon /etc/ftpchroot. Nyt kuitenkin jos komento toistetaan toisella tunnuksella niin tiedoston päälle kirjoitetaan uudestaan joten edellisen tunnuksen listaus tiedostosta katoaa. Tämä johtuu siitä että ekalla kerralla tiedostoa ei ole vielä olemassa (oletuksena ainakaan Leopardissa, jos sitä ei ole itse sinne tehnyt). Nyt kun tiedosto on olemassa, voidaan sinne *lisätä* tavaraa käyttämällä yhden ">" sijaan kahta, eli ">>".

Koodi: Valitse kaikki

sudo echo toinen_tunnus >> /etc/ftpchroot

Se vielä piti mainitsemani että tuo komennon ensimmäinen "sudo" tarkoittaa "super-user do", eli "tee pääkäyttäjänä". Se vaaditaan koska normikäyttäjällä (eikä admin-käyttäjällä, OSX-näkökulmasta) ei ole oikeuksia kirjoittaa mihinkään /etc -hakemiston alaisiin tiedostoihin. Ja se kysyy sitten sinulta salasanaa.

[TheKraken]

Tommosten koodien kaveriksi olisi kiva liittää seloste siitä mitä tekee, koska me tavalliset kuolevaiset emme välttämättä tätä voi ymmärtää

[securapple]

Tommosten koodien kaveriksi olisi kiva liittää seloste siitä mitä tekee, koska me tavalliset kuolevaiset emme välttämättä tätä voi ymmärtää

Eikös tuo morbusg juuri noin tehnyt?

Eli ftp-prosessille valehdellaan että juurihakemisto (/ -hakemisto) onkin jokin toinen hakemisto :

esim. kuvitteellisesti :

/ftp/ftproot/kamat

chrootataan hakemistoksi

/

jolloin ftp-käyttäjät ovat jääneet "chroot"-vankilaan hakemiston /ftp/ftproot/kamat/ -alihakemistoihin sikäli kun niitä olisi luotu.

-securapple

[TheKraken]

Eikös tuo morbusg juuri noin tehnyt?

Huomaa viestin muokkauksen aikaleima

Edelleen silti sitä mieltä, että tuo PureFTPd on se minun tapa tämmä homma hoitaa. Sillä sujuu hyvin käyttäjien hallinta sekä kansioiden määrittely.

[seba108]

Kiitoksia kaikille vastauksista! Miten toi turvallisuus puoli PureFTPd managerissa ja ftpchroot muokkauksissa on? Kannattaako minun tehdä jotain erillisiä muokkauksia palomuuriin (rautaan)?

[TheKraken]

No siis ne portit auki mitä tarvitsee ja muut kiinni. Eipä siinä sen kummempia oikein voi tehdä.

[seba108]

Ok hyvä! "Pikkasen" tahtoo olla nää hommat viel hakusessa. Tuo PureFTPd vaikuttaa lupaavalta,, eli pistän sen melkovarmasti huomenna käyttöön. Kiitos vielä kerran!