---

Hej gruppe,

Er der nogen af jer der har erfaring med at sætte secure ftp op på en
linux-box så windows brugere kan tilgå deres "home" dir via ex: WinSCP

Det er ikke et problem at få WinSCP til at connecte.
Det er et problem at brugeren kan komme uden for sit "home" dir... Det
er dette jeg gerne vil ha' sat en stopper for.

Anyone?


--
mvh
Ulrik Nielsen
- there is no spoon...

---

> Det er et problem at brugeren kan komme uden for sit "home" dir... Det
> er dette jeg gerne vil ha' sat en stopper for.

Det er din ftpserver du skal læse i manualen til så.
Se efter noget med chroot eller lign.

Mvh
Thomas

---

i conf for ftpserveren skal der tilføjes ~DefaultRoot
"tdn" <tdn@peps.dk> skrev i en meddelelse
news:3decd720$0$158$edfadb0f@dread15.news.tele.dk...
> > Det er et problem at brugeren kan komme uden for sit "home" dir... Det
> > er dette jeg gerne vil ha' sat en stopper for.
>
> Det er din ftpserver du skal læse i manualen til så.
> Se efter noget med chroot eller lign.
>
> Mvh
> Thomas
>
>

---

Ulrik Nielsen skrev:
> Hej gruppe,
>
> Er der nogen af jer der har erfaring med at sætte secure ftp op på en
> linux-box så windows brugere kan tilgå deres "home" dir via ex: WinSCP
>
> Det er ikke et problem at få WinSCP til at connecte.
> Det er et problem at brugeren kan komme uden for sit "home" dir... Det
> er dette jeg gerne vil ha' sat en stopper for.
>
> Anyone?

Nej. Mig bekendt kan det ikke lade sig gøre, da SFTP bruger SSH som er
en logintjeneste til at transportere filerne med.
Ellers skal man lave noget chroot-halløj, men det er ret avanceret.

Gunner.

--
Aktiv i projektet Gnuskole http://www.gnuskole.dk

---

"Gunner Poulsen" <gp@lyngbjerggaardskolen.dk> skrev i en meddelelse
news:3dece074$0$154$edfadb0f@dread12.news.tele.dk...

> > Det er ikke et problem at få WinSCP til at connecte.
> > Det er et problem at brugeren kan komme uden for sit "home" dir... Det
> > er dette jeg gerne vil ha' sat en stopper for.
> >
> > Anyone?
>
> Nej. Mig bekendt kan det ikke lade sig gøre, da SFTP bruger SSH som er
> en logintjeneste til at transportere filerne med.
> Ellers skal man lave noget chroot-halløj, men det er ret avanceret.
>
> Gunner.
>
Nej det er ikke særligt avanceret med proftp eller wu-ftp. Der siges det er
lettest med proftp, men jeg bruger wuftp.
Jeg har ændret i disse entries i /etc/ftpaccess:

# User classes...
class all real,guest,anonymous *
allow-gid kursist
allow-gid apache
deny-gid nobody
deny-gid guest
deny-uid nobody
deny-uid guest
deny-uid anonymous
guestgroup kursist
# Allow 3 mistyped passwords
loginfails 3
# User classes...

og har ikke anonym login, men brugere, eks. kursister kommer ikk i andre
biblioteker

finn

---

Den Tue, 3 Dec 2002 19:48:14 +0100 skrev CykelSmeden fra Aalborg:
>
>"Gunner Poulsen" <gp@lyngbjerggaardskolen.dk> skrev i en meddelelse
>news:3dece074$0$154$edfadb0f@dread12.news.tele.dk...
>
>> > Det er ikke et problem at få WinSCP til at connecte.
>> > Det er et problem at brugeren kan komme uden for sit "home" dir... Det
>> > er dette jeg gerne vil ha' sat en stopper for.
>> >
>> > Anyone?
>>
>> Nej. Mig bekendt kan det ikke lade sig gøre, da SFTP bruger SSH som er
>> en logintjeneste til at transportere filerne med.
>> Ellers skal man lave noget chroot-halløj, men det er ret avanceret.
>>
>> Gunner.
>>
>Nej det er ikke særligt avanceret med proftp eller wu-ftp. Der siges det er
>lettest med proftp, men jeg bruger wuftp.

Men nu er det altså WinSCP der bliver snakket om. Ikke hverken den ene
eller den andet ftpd.

Mvh
Kent
--
Mails skrevet før 12:00 skal læses med det forbehold, at hjernen først
forventes at være færdig med at boote på det tidspunkt, og indholdet
derfor kan indeholde random data der tilfældigvis lå i den
uinitializerede cache.

---

---

---

---

Ulrik Nielsen <ulrik@lazy.dk> wrote:
> 4: sikre mig at brugerne ikke får adgang til andet end deres "home" dir.

Hvorfor?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:
>
>>4: sikre mig at brugerne ikke får adgang til andet end deres "home" dir.
>
>
> Hvorfor?
>

err.. jeg omformulere lige
4: sikre mig at brugere ikke kan komme over deres "home" dir.

ex:

/home/user
"user" er her brugerens home
brugeren må ikke kunne komme ud i:
/home/ eller /
de må gerne kunne oprette og komme ind i under dir's ex:
/home/user/tmp

--
mvh

Ulrik Nielsen
- there is no spoon...

---

Ulrik Nielsen <ulrik@lazy.dk> wrote:
> Alex Holst wrote:
> >
>>>4: sikre mig at brugerne ikke får adgang til andet end deres "home" dir.
>>
>> Hvorfor?
>
> err.. jeg omformulere lige
> 4: sikre mig at brugere ikke kan komme over deres "home" dir.

Netop. Hvorfor?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:
>>>Hvorfor?
>>
>>err.. jeg omformulere lige
>>4: sikre mig at brugere ikke kan komme over deres "home" dir.
>
>
> Netop. Hvorfor?
>

for at de ikke skal hente min shaddow-, passwdfil og andre ting de ikke
skal blande sig i...

- har forøvrigt fået det til at virke. :)

http://www.castaglia.org/proftpd/modules/mod_tls.html

hvis der var andre der var interesseret..

--
mvh

Ulrik Nielsen
- there is no spoon...

---

Den Wed, 04 Dec 2002 17:49:45 +0100 skrev Ulrik Nielsen:
>
>
>Alex Holst wrote:
>>>>Hvorfor?
>>>
>>>err.. jeg omformulere lige
>>>4: sikre mig at brugere ikke kan komme over deres "home" dir.
>>
>>
>> Netop. Hvorfor?
>>
>
>for at de ikke skal hente min shaddow-, passwdfil og andre ting de ikke
>skal blande sig i...

Hvorfor?

/etc/passwd bør ikke indeholde nogen ting der kan misbruges.

/etc/shadow bør de alligevel ikke have lov til at læse, og derudover
er indholdet krypteret.

Andre private filer bør de heller ikke have lov til at læse.

Mvh
Kent
--
The frozen north will hatch a flightless bird,
who will spread his wings and dominate the earth
And cause an empire by the sea to fall
To the astonishment, and delight of all.

---

On Wed, 04 Dec 2002 18:48:39 +0100, Kent Friis wrote:

> Hvorfor?
>
> /etc/passwd bør ikke indeholde nogen ting der kan misbruges.
>
> /etc/shadow bør de alligevel ikke have lov til at læse, og derudover er
> indholdet krypteret.
>
> Andre private filer bør de heller ikke have lov til at læse.

Det kan vel ikke være så svært at forstille sig filer i /etc, som man
gerne vil have folk ikke kan se/hente.

mvh
socketd

---

Socketd wrote:

> Det kan vel ikke være så svært at forstille sig filer i /etc, som man
> gerne vil have folk ikke kan se/hente.

Hvilke?

Mogens
--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

On Thu, 05 Dec 2002 14:27:45 +0100, Mogens Kjaer wrote:

>> Det kan vel ikke være så svært at forstille sig filer i /etc, som man
>> gerne vil have folk ikke kan se/hente.
>
> Hvilke?

Argh hold nu op. Sig nu hvad I mener istedet for at kræve en liste. Er
der virkelig så svært at forstå at man ikke ønsker folk ser:
/etc/fstab
/etc/passwd
/etc/inetd.conf
/etc/group
/etc/sysctl.conf
/etc/rc.conf
/var/run/dmesg.boot
/var/db/pkg/*

Med disse oplysninger har en eventuel cracker følgende:
Brugernavne og hvem der er medlem af wheel
Hvordan de forskellige "drev" er mount'et (NOSUID på home?!?!)
Hvilke daemons kører og hvilke versioner?
Hvilket OS kører, hvilken version og på hvilken type hardware.

Hvis man ikke kan se det farlige i det så...ja, det kan I vel også....

mvh
socketd

---

Socketd wrote:

> Med disse oplysninger har en eventuel cracker følgende:
> Brugernavne og hvem der er medlem af wheel
> Hvordan de forskellige "drev" er mount'et (NOSUID på home?!?!)
> Hvilke daemons kører og hvilke versioner?
> Hvilket OS kører, hvilken version og på hvilken type hardware.
>
> Hvis man ikke kan se det farlige i det så...ja, det kan I vel også....

Hvis en cracker først er kommet ind, kan det vel
være ligemeget.

"Security by obscurity" når man sjældent langt med.

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

Mogens Kjaer wrote:
> Hvis en cracker først er kommet ind, kan det vel
> være ligemeget.
>
> "Security by obscurity" når man sjældent langt med.


Han er jo nettop *ikke* kommet ind....
Vi snakker om ftp brugere der ikke skal kunne se/læse/hente/overskrive
systemfiler..

Hvis han nu havde rettigheder til at læse/skrive i /etc (ja det ville
være dumt) kunne han jo hurtigt overskrive et par filer og dervet *få*
adgang til systemet, men det er jo nettop det vi snakker om at ungå.

Og her er der jo ikke tale om "Security by obscurity".
Man prøver jo bare at sikre sine data så der ikke *kommer*
sikkerhedsbrister.

--
mvh

Ulrik Nielsen
- there is no spoon...

---

On Fri, 06 Dec 2002 08:52:55 +0100, Mogens Kjaer wrote:

> Socketd wrote:
>
>> Med disse oplysninger har en eventuel cracker følgende: Brugernavne og
>> hvem der er medlem af wheel Hvordan de forskellige "drev" er mount'et
>> (NOSUID på home?!?!) Hvilke daemons kører og hvilke versioner? Hvilket
>> OS kører, hvilken version og på hvilken type hardware.
>>
>> Hvis man ikke kan se det farlige i det så...ja, det kan I vel også....
>
> Hvis en cracker først er kommet ind, kan det vel være ligemeget.

Overhovedet ikke...eller jo, hvis han har root. Dog kører mange daemons
som root, så at han er inde betyder ikke han er root. Hvilket også er
hvorfor jeg begrænser adgangen til SUID filer, selvom jeg egentlig ikke
tilbyder telnet eller ssh adgang.
Men crackes en brugers konto, så er det også fint crackeren ikke kan
indsamle flere oplysninger om din server, end der er nødvendigt.

mvh
socketd

---

On Fri, 06 Dec 2002 12:59:19 +0100, Socketd wrote:

> Overhovedet ikke...eller jo, hvis han har root. Dog kører mange daemons
> som root, så at han er inde betyder ikke han er root.

Hov, det skulle stå "kører mange daemons IKKE som root"....sorry

mvh
socketd

---

Socketd <db@traceroute.dk> writes:

> Argh hold nu op. Sig nu hvad I mener istedet for at kræve en liste. Er
> der virkelig så svært at forstå at man ikke ønsker folk ser:

> /etc/fstab
> /etc/inetd.conf
> /etc/sysctl.conf
> /etc/rc.conf
> /var/run/dmesg.boot
> /var/db/pkg/*

Kan man ikke bare læsebeskytte alle disse filer?

> /etc/group

Typisk har Linux ikke denne wheel begrænsning, Debian har helt sikkert
ikke pr. default.

Jeg er enig i at flere lag beskyttelse er godt, men serveren bør under
alle omstændigheder være sat op så det ikke er nødvendigt at begrænse
brugerne så meget.

Hvis det var en server som jeg delte med nogle venner, så ville jeg
være irriteret over at jeg ikke kunne lade dem hente nogle af mine
filer.

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

---

On Fri, 06 Dec 2002 12:27:56 +0100, Kim Hansen wrote:

> Socketd <db@traceroute.dk> writes:
>
>> Argh hold nu op. Sig nu hvad I mener istedet for at kræve en liste. Er
>> der virkelig så svært at forstå at man ikke ønsker folk ser:
>
>> /etc/fstab
>> /etc/inetd.conf
>> /etc/sysctl.conf
>> /etc/rc.conf
>> /var/run/dmesg.boot
>> /var/db/pkg/*
>
> Kan man ikke bare læsebeskytte alle disse filer?

Der er flere filer end overstående, så nej, det er nemmere at chroot'e
brugerne. Når vi taler sikkerhed bør vi også:
Lukke for alt og åbne for det tilladte. Fremfor:
Åbne for alt og lukke for det forbudte.

>> /etc/group
>
> Typisk har Linux ikke denne wheel begrænsning, Debian har helt sikkert
> ikke pr. default.

Begrænsning? Jeg ser det som et sikkerheds++.

> Jeg er enig i at flere lag beskyttelse er godt, men serveren bør under
> alle omstændigheder være sat op så det ikke er nødvendigt at begrænse
> brugerne så meget.

Tja, jeg sover bedst om natten når brugerne er chroot'et

> Hvis det var en server som jeg delte med nogle venner, så ville jeg være
> irriteret over at jeg ikke kunne lade dem hente nogle af mine filer.

Det kan du da også, bare chroot dem til /home....

mvh
socketd

---

Socketd <db@traceroute.dk> writes:

> On Fri, 06 Dec 2002 12:27:56 +0100, Kim Hansen wrote:
>
> > Typisk har Linux ikke denne wheel begrænsning, Debian har helt sikkert
> > ikke pr. default.
>
> Begrænsning? Jeg ser det som et sikkerheds++.

Alle sikkerhedforanstaltinger er begrænsninger, det gælder jo om at
crackernes adgang til maskinen.

--
Kim Hansen | |\ _,,,---,,_ | Det er ikke
Dalslandsgade 8, A708 | /,`.-'`' -. ;-;;,_ | Jeopardy.
2300 København S | |,4- ) )-,_. ,\ ( `'-' | Svar _efter_
Phone: 32 88 60 86 | '---''(_/--' `-'\_) | spørgsmålet.

---

Kim Hansen wrote:
> Hvis det var en server som jeg delte med nogle venner, så ville jeg
> være irriteret over at jeg ikke kunne lade dem hente nogle af mine
> filer.
>
´
Hvis du er interesseret i at dele filer med venner var det måske en ide
at lave et "dele" bibliotek og så opsætte et link i hver af de venners
ftp dir.

Men, jeg mener stadig at hvis det skal bruges mere seriøst såsom upload
til webservere osv. *bør* der ikke være adgang til andet end "home".

Hvis man vil dele filer kan man bruge kazaa (eller lignende programmer),
det er ikke ulovligt, hvis man ikke deler ulovligt materiale...


--
mvh

Ulrik Nielsen
- there is no spoon...

---

"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:asiueu$esb$1@sunsite.dk...
> Den Tue, 3 Dec 2002 19:48:14 +0100 skrev CykelSmeden fra Aalborg:

>
> Men nu er det altså WinSCP der bliver snakket om. Ikke hverken den ene
> eller den andet ftpd.
>
> Mvh
> Kent

HAHA det så jeg ikke - beklager. Og jeg har enda engang selv pointeret den
svaghed ved WinSCP :>) (ikke gunner?)

finn

---

On Tue, 03 Dec 2002 15:57:53 +0100, Ulrik Nielsen wrote:

> Hej gruppe,
>
> Er der nogen af jer der har erfaring med at sætte secure ftp op på en
> linux-box så windows brugere kan tilgå deres "home" dir via ex: WinSCP
>
> Det er ikke et problem at få WinSCP til at connecte. Det er et problem
> at brugeren kan komme uden for sit "home" dir... Det er dette jeg gerne
> vil ha' sat en stopper for.

Bare vælge en FTP server der understøtter SSL:
http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html

mvh
socketd