---

Hey derude

Jeg leger lidt med FTP fildeling i mac os x, og er faldet over en lille
(stor) ting. Hvis man giver lov til ftp adgang så ryger brugerne lige
lukt ned i roden af ens startdisk, også selv om de ikke har
administrative rettigeheder. Kan det passe ?!?

/thomas

---

Thomas von Hassel <t@garbage.dk> wrote:

> Hey derude
>
> Jeg leger lidt med FTP fildeling i mac os x, og er faldet over en lille
> (stor) ting. Hvis man giver lov til ftp adgang så ryger brugerne lige
> lukt ned i roden af ens startdisk, også selv om de ikke har
> administrative rettigeheder. Kan det passe ?!?
>
> /thomas

Jeg kan lige tilføje at Privileges man sætter som admin ikke nytter en
ski' for andre brugere. F.eks. har jeg prøvet at lukke af for en disk så
kun ejeren (mig) kan læse skrive slette, men det er de andre brugere
ligeglade med. Den kan selvfølgelig være man skal ud i terminalen og
lave chmod men det kan da ikke være meningen ?!

/thomas

---

Thomas von Hassel <t@garbage.dk> wrote:

> Hey derude
>
> Jeg leger lidt med FTP fildeling i mac os x, og er faldet over en lille
> (stor) ting. Hvis man giver lov til ftp adgang så ryger brugerne lige
> lukt ned i roden af ens startdisk, også selv om de ikke har
> administrative rettigeheder. Kan det passe ?!?
>
> /thomas

ok, mig igen, chmod fra terminal.app virker heller ikke... WTF is this
!?!

/thomas

---

In article <1f1e9ox.1d9ndntut1vqN%t@garbage.dk>,
t@garbage.dk (Thomas von Hassel) wrote:

> Jeg leger lidt med FTP fildeling i mac os x, og er faldet over en lille
> (stor) ting. Hvis man giver lov til ftp adgang så ryger brugerne lige
> lukt ned i roden af ens startdisk, også selv om de ikke har
> administrative rettigeheder. Kan det passe ?

Kan du ikke sætte en root-mappe for hver bruger?

Hvordan har X det forresten med chroot eller jail (uden
ekstrainstallationer)?

--
MVH Martin Edlich http://www.edlich.dk
Henvendelser til min e-mail adresse vil blive betragtet som et ønske
om at betale for support, hvilket takseres med 800 kr/time.
(medmindre jeg selv er ude om det, og det er Off Topic).

---

Martin Edlich <newsspam3@mail.edlich.dk> wrote:

> In article <1f1e9ox.1d9ndntut1vqN%t@garbage.dk>,
> t@garbage.dk (Thomas von Hassel) wrote:
>
> > Jeg leger lidt med FTP fildeling i mac os x, og er faldet over en lille
> > (stor) ting. Hvis man giver lov til ftp adgang så ryger brugerne lige
> > lukt ned i roden af ens startdisk, også selv om de ikke har
> > administrative rettigeheder. Kan det passe ?
>
> Kan du ikke sætte en root-mappe for hver bruger?
>
> Hvordan har X det forresten med chroot eller jail (uden
> ekstrainstallationer)?

jeg leder lidt efter en ftpd.conf fil et eller andet sted, men kan ik'
hit u' aet' ;)

/thomas

---

Thomas von Hassel <t@garbage.dk> wrote:

> Hey derude
>
> Jeg leger lidt med FTP fildeling i mac os x, og er faldet over en lille
> (stor) ting. Hvis man giver lov til ftp adgang så ryger brugerne lige
> lukt ned i roden af ens startdisk, også selv om de ikke har
> administrative rettigeheder. Kan det passe ?!?

Jeg har fundet en løsning på dette et sted på nettet (og det virker).

Here goes:

With the release of 10.0.2, Apple has included an upgraded FTP server
that makes it easier to control which directories FTP users can utilize.
This is done using an 'ftpchroot' file, which makes each listed user's
home directory appear as the root of the system via FTP, so there's no
way they can move "up" out of their directories.

Implementing 'ftpchroot' is quite simple, but it does require a bit of
editing work as root. If you'd like to restrict your FTP users to their
own directory, read the rest of this tip.
This only works for users who exist as users on your system. You may
want to create a generic 'ftpuser' for such purposes. For this example,
we'll assume you have two users, 'tom' and 'ftpuser', and you'd like to
restrict both of them to their home directories.

1. Open a terminal and type cd /etc to change into the 'etc'
directory.

2. We'll use pico as the text editor, since this is a very simple
file. Type sudo pico ftpchroot and enter your normal admin user's
password when prompted.

3. When the file opens, simply type each user's short name on a
line of its own:

ftpuser
tom

4. Save the file by typing Control-X.
That's it! You've created the file you need to restrict FTP users'
access.

To implement the file, you will probably have to restart your network --
you could try disabling and re-enabling FTP from the Sharing prefs
panel, but a full restart will definitely do the trick! If you ever need
to add more users, just follow these directions and add additional rows
for each new user you wish to restrict.

To test the restrictions, find another machine, make sure your OS X box
has FTP enabled, and connect via FTP as one of the restricted users. You
should NOT be able to navigate up from your starting location. If you
can, then something's not working correctly. I have tested this tip
myself, and it works exactly as described here - thanks, Apple, for
getting rid of this relatively large security hole! Note that FTP still
transmits passwords in cleartext, which is why setting up an "ftpuser"
may be a good idea.


--
René

---

In article <1f1g2co.141mxrn1f603wgN%rfn@altavista.net>,
rfn@altavista.net (René Frej Nielsen) wrote:

> Implementing 'ftpchroot' is quite simple, but it does require a bit of
> editing work as root. If you'd like to restrict your FTP users to their
> own directory, read the rest of this tip.

Fornemt.

Hvad hedder ftpd'en i X?

--
MVH Martin Edlich http://www.edlich.dk
Henvendelser til min e-mail adresse vil blive betragtet som et ønske
om at betale for support, hvilket takseres med 800 kr/time.
(medmindre jeg selv er ude om det, og det er Off Topic).

---

Martin Edlich <newsspam3@mail.edlich.dk> wrote:

> In article <1f1g2co.141mxrn1f603wgN%rfn@altavista.net>,
> rfn@altavista.net (René Frej Nielsen) wrote:
>
> > Implementing 'ftpchroot' is quite simple, but it does require a bit of
> > editing work as root. If you'd like to restrict your FTP users to their
> > own directory, read the rest of this tip.
>
> Fornemt.
>
> Hvad hedder ftpd'en i X?

Øhh... jeg er ikke helt med... (det #%&/¤/& Unix!)

--
René

---

In article <1f1g4h0.1bosdbw14e7gt2N%rfn@altavista.net>,
rfn@altavista.net (René Frej Nielsen) wrote:

> > Hvad hedder ftpd'en i X?
>
> Øhh... jeg er ikke helt med... (det #%&/¤/& Unix!)

FTP daemonen - FTP-server programmet.

--
MVH Martin Edlich http://www.edlich.dk
Henvendelser til min e-mail adresse vil blive betragtet som et ønske
om at betale for support, hvilket takseres med 800 kr/time.
(medmindre jeg selv er ude om det, og det er Off Topic).

---

Martin Edlich <newsspam3@mail.edlich.dk> wrote:

> In article <1f1g4h0.1bosdbw14e7gt2N%rfn@altavista.net>,
> rfn@altavista.net (René Frej Nielsen) wrote:
>
> > > Hvad hedder ftpd'en i X?
> >
> > Øhh... jeg er ikke helt med... (det #%&/¤/& Unix!)
>
> FTP daemonen - FTP-server programmet.

Hedder den ikke bare ftpd som normalt. Der er ihvertfald en man-side til
den.

--
René

---

In article <1f1g7bl.xl9lsroohs5iN%rfn@altavista.net>,
rfn@altavista.net (René Frej Nielsen) wrote:

> Hedder den ikke bare ftpd som normalt. Der er ihvertfald en man-side til
> den.

Jeg ved ikke hvad den hedder i OS X, men der er mange forskellige
ftpd'er. Ftpd er svjv bare navnet på servicen, der er flere forskellige
programmer, der kan levere den ydelse.

--
MVH Martin Edlich http://www.edlich.dk
Henvendelser til min e-mail adresse vil blive betragtet som et ønske
om at betale for support, hvilket takseres med 800 kr/time.
(medmindre jeg selv er ude om det, og det er Off Topic).