Beperken remote inloggen tot 1 werkstation voor 1 user

[anoniem]

Ik heb een ftp-server opgezet onder Knoppix release 31-10-2003. Daar op hebben 2 users rechten om remote in te loggen. User 1 heeft alleen leesrechten. User2 heeft lees en schrijf-rechten. Ik wil in feite dat User2 slechts van 1 intern werkstation kan inloggen. User1 mag vanaf ieder werkstation op het internet inloggen. Hoe kan ik de inlog-rechten van alleen User1 beperken? Ik weet wel hoe ik de inlog-rechten van 1 user kan verwijderen en toevoegen ([b:55fdfc7dd6]bestand ftpusers[/b:55fdfc7dd6]). Ook weet ik wel hoe ik de inlog-rechten van 1 werkstation kan verwijderen (bestand [b:55fdfc7dd6]hosts.allow[/b:55fdfc7dd6] of [b:55fdfc7dd6]hosts.deny[/b:55fdfc7dd6]).

[anoniem]

Voor het compleet maken van de info: Het betreft inloggen op een FTPD server (Knoppix distributie = Debian vanaf CD).

[anoniem]

waarschijnlijk moet je dat in de configuratie van de ftp daemon regelen kijk die er maar eens op na ;)

[anoniem]

Daar kon ik dat dus niet vinden. Daarom stelde ik de vraag hier.

[anoniem]

Welke FTP-daemon gebruik je eigenlijk? Max

[anoniem]

Welke FTP-daemon gebruik je eigenlijk? Max

[anoniem]

Welke FTP-daemon gebruik je eigenlijk? Max

[anoniem]

Ik start inetd op. Daarmee wordt ftpd geactiveerd.

[anoniem]

Dat was mijn vraag niet ;) Gebruik je WU_FTP, of GFTPD of een andere daemon? Inetd regelt welke service gestart wordt als een bepaalde poort wordt aangeroepen. Je moet dus aan inetd doorgeven dat je ftp-daemon een poort mag aanbieden, maar verder heeft inetd niks te maken met de configuratie van je ftp-daemon.. Lees meer over inetd op http://www.linux-nl.cx/html/SECURE.html Max

[anoniem]

In mijn inetd.conf staat de volgende regel: [code:1:9bab6fdb42]ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd[/code:1:9bab6fdb42] Verder doe ik niets om een deamon op te starten. Met de door jou opgegeven link kom ik qua kennis niet verder. Ook de diverse man-pages die ik op de knoppix box heb gelezen helpen me niet. Als ik de ftpd deamon niet start met inetd, hoe komt het dan dat ik, zodra inetd draait wel bij mijn knoppix-box kan inloggen? Of is er een restart truc? :oops: Hoe meer ik vragen stel en antwoorden krijg, hoe minder duidelijk het voor mij begint te worden. Wel weet ik dat ik elke keer een stapje verder kom. Daarbij komt bij ieder stapje weer een aantal nieuwe vragen om de hoek. :wink: Het is net als onderzoek, hoe meer je onderzoekt, hoe groter het aantal vragen wordt waarmee je zit. :roll: De server komt achter een firewal te staan in een DMZ zone. De configuratie daarvan brengt ook nog de nodige zorgen met zich mee, maar dat valt nu even buiten dit topic. Op de firewall worden poort 21 en 20 vrijgegeven voor het initieren van de verbinding. Ook passive mode wordt vrijgegeven. Ik weet dat ik daarmee een aantal gaten creeer in mijn firewal. Vandaar dat dit naar een DMZ zone moet. Vanuit mijn netwerk mag slechts 1 gebruiker met schrijf en lees rechten naar de server en die wil ik ook nog beperken tot 1 PC.. Voor 1 gebruiker met alleen leesrechten moet de server overal vandaan de server kunnen benaderen. Het paswoord voor deze gebruiker wordt voor elke sessie apart ingesteld. Daarmee wordt het inbreken weer een stukje moeilijker. Ik wil de firewal zo instellen dat initiatie van verkeer vanaf de server naar het netwerk niet mogelijk is. Bovendien moet de firewal gesloten worden als de ftp-server uit de lucht is. Als dit draait, dan kan ik eens kijken of dit alles ook mogelijk is via een tunnel-protocol.

[anoniem]

staat er nog meer over ftp in /etc/inetd.conf ?? doe eens: cat /etc/inetd.conf | grep ftp en gooi die output eens hier

[anoniem]

Daarin staat: [size=9:2abf94b993][code:1:2abf94b993]ftp stream tcp nowait root /usr/sbin/tcpd /usr/sbin/in.ftpd #:BOOT: Tfpt service is provided primarily for booting. most sites #tftp dgram udp wait root /usr/sbin/in.tftp intftp /boot #<off># ftps-data stream tcp nowait root /usr/sbin/sslwrap -nocert -addr 127.0.0.1 -port 20 #<off># ftps stream tcp nowait root /usr/sbin/sslwrap -nocert -addr 127.0.0.1 -port 21[/code:1:2abf94b993][/size:2abf94b993]

[anoniem]

worden we dus ook niet wijzer van ;( Dat wordt dus uitvogelen door te kijken wat voor pakketten ftp leveren en door knoppix geinstalleerd zijn :cry:

[anoniem]

[quote:f30687014f="HermanH"] Als ik de ftpd deamon niet start met inetd, hoe komt het dan dat ik, zodra inetd draait wel bij mijn knoppix-box kan inloggen? Of is er een restart truc?[/quote:f30687014f] inet zorgt er dus voor dat de ftp-daemon een poort mag aanbieden, vandaar datie werkt nadat inetd is opgestart. Je kunt de ftpdaemon herstarten via een commando als deze: [b:f30687014f]/etc/rc.d/init.d/ftpd restart [/b:f30687014f] (uitgaande dat /etc/rc... op jouw systeem aanwezig is, kijk dit dus even na...) Je kunt via het commando [b:f30687014f]ps ax | grep ftp [/b:f30687014f] even kijken welk proces er voor ftp draait.. [quote:f30687014f] Als dit draait, dan kan ik eens kijken of dit alles ook mogelijk is via een tunnel-protocol.[/quote:f30687014f] Yep, je kunt het via ssh tunnelen.. Max

[anoniem]

Helaas de directory rc.d bestaat niet. Wel bestaat er een hele serie [b:125a52142f]rcX.d[/b:125a52142f] directories. Waarbij de X vervangen moet worden door een cijfer van 0 tot 5. In [b:125a52142f]rc1.d[/b:125a52142f] t/m [b:125a52142f]rc4.d[/b:125a52142f] staat een bestand met de naam [b:125a52142f]K10xsession[/b:125a52142f] In [b:125a52142f]rc0.d[/b:125a52142f] staat naast dit bestand ook nog een bestand [b:125a52142f]S90knoppix-halt[/b:125a52142f]. Deze hebben volgens mij niets te maken met ftp Het resultaat van het commando [b:125a52142f]ps ax | grep ftp[/b:125a52142f] is: [code:1:125a52142f]772 tty1 S 0:00 grep ftp[/code:1:125a52142f] Bij een volgende keer wijzigt het nummer voor aan de regel.

[anoniem]

[quote:a5714ea3f9]Helaas de directory rc.d bestaat niet. [/quote:a5714ea3f9] ok, dus rc3.d staat gewoon in /etc?, niet als /etc/rc.d/rc3.d? Dit zijn overigens de mappen voor je runlevels. om je ftpdaemon te kunnen opstarten moet deze in /etc/rc5.d met een opstartscript staan. Heb je elders in /etc een map genaamd init.d? Max

[anoniem]

[quote:f96ca9fc3d]Het resultaat van het commando ps ax | grep ftp is: [/quote:f96ca9fc3d] Dat levert dus niks op :( alleen het proces dat je zelf start om ftp te zoeken wordt getoond. Dat nummer is het PID, oftewel het proces-ID. Dat die telkens wijzigt klopt in dit geval, je roept immers telkens een nieuw commando aan, waardoor er een nieuw proces is. Voor een compleet overzicht van alle processen typ je overigens [b:f96ca9fc3d]ps ax[/b:f96ca9fc3d] Processen kun je overigens eenvoudig afschieten via het commando [b:f96ca9fc3d]kill -9 PID[/b:f96ca9fc3d], waarbij je PID vervangt voor het proces-ID Maar dat terzijde.. Max

[anoniem]

Ik denk dat ik de vraag welke deamon het is ook maar eens neer leg bij het knoppix forum.

[anoniem]

Knoppix gebruikt ftpd iirc. Ik ga kijken hoe de man-pages iirc er uit zien.

[anoniem]

Geen man-pages, geen howto's voor ftpd iirc gevonden. Het lijkt me dat dit antwoord van het knoppix forum niet klopt. Ik vond het al een beetje vreemd. IIRC heeft volgens mij met Infra rood communicatie te maken.