Господа подскажите как настроить vsftpd пускать часть юзеров с определенных ip. Т.е. надо чтобы пользователь vasya мог ходить на ftp только с ip 10.1.1.8, а пользователь admin откуда угодно(соответсвенно по паролю).P.S. FTP-Сервер польностью рабочий, но филтровать по ip-пока не умеет(не знаю куда ip-адреса прописывать) конфиг vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
#chroot_list_file=/etc/vsftpd/chroot_list
chroot_local_user=YES
listen=YES
#listen_ipv6=YES
#anon_root=/home/zoa/
async_abor_enable=YES
max_clients=10
max_per_ip=2
pam_service_name=vsftpduserlist_enable=YES
tcp_wrappers=YES
>[оверквотинг удален]
> chroot_local_user=YES
> listen=YES
> #listen_ipv6=YES
> #anon_root=/home/zoa/
> async_abor_enable=YES
> max_clients=10
> max_per_ip=2
> pam_service_name=vsftpd
> userlist_enable=YES
> tcp_wrappers=YES
> http://lmgtfy.com/?q=vsftpd+tcp_wrappersЭто не то. Вернее, не совсем то. tcp_wrapper позволяет разрешить/запретить доступ к службе vsftpd на уровне IP-адресов ГЛОБАЛЬНО. Независимо от имени пользователя. Собственно, то же самое можно сделать и при помощи iptables. :)
2Автор_вопроса. Лично мне о наличии подобного функционала в vsftpd неизвестно. Допускаю, что это можно сделать при помощи настроек PAM. Но берут в меня крепкие сомнения, что это возможно. То есть - ШТАТНЫМИ средствами vsftpd (на всякий случай скажу - IMHO) это невозможно.
>> http://lmgtfy.com/?q=vsftpd+tcp_wrappers
> Это не то. Вернее, не совсем то. tcp_wrapper позволяет разрешить/запретить доступ
> к службе vsftpd на уровне IP-адресов ГЛОБАЛЬНО. Независимо от имени пользователя.
> Собственно, то же самое можно сделать и при помощи iptables. :)наверное вы правы. я просто хотел показать куда примерно копать.
> 2Автор_вопроса. Лично мне о наличии подобного функционала в vsftpd неизвестно. Допускаю,
> что это можно сделать при помощи настроек PAM. Но берут в
> меня крепкие сомнения, что это возможно. То есть - ШТАТНЫМИ средствами
> vsftpd (на всякий случай скажу - IMHO) это невозможно.от себя добавлю что то что хочет автор + виртуальные пользователи + врапер по имени пользователя и ипадресам/сетям и тд 100% реализуется на proftpd.
>> http://lmgtfy.com/?q=vsftpd+tcp_wrappers
> Это не то. Вернее, не совсем то. tcp_wrapper позволяет разрешить/запретить доступ
> к службе vsftpd на уровне IP-адресов ГЛОБАЛЬНО. Независимо от имени пользователя.
> Собственно, то же самое можно сделать и при помощи iptables. :)
> 2Автор_вопроса. Лично мне о наличии подобного функционала в vsftpd неизвестно. Допускаю,
> что это можно сделать при помощи настроек PAM. Но берут в
> меня крепкие сомнения, что это возможно. То есть - ШТАТНЫМИ средствами
> vsftpd (на всякий случай скажу - IMHO) это невозможно.tcp_wrapper работает с именами пользователя, несколько специфично, но вполне в духе unix
(а для windows тоже существует identd)CLIENT USERNAME LOOKUP
When the client host supports the RFC 931 protocol or one of its descendants (TAP, IDENT, RFC 1413) the wrapper programs can retrieve additional information about the owner of a connection.
Client username information, when available, is logged together with the client host name, and can be used to match patterns like:daemon_list : ... user_pattern@host_pattern ...
(man host_access)
> tcp_wrapper работает с именами пользователя, несколько специфично, но вполне в духе unix
> (а для windows тоже существует identd)Проблема в том, что идент ни сном, ни духом про виртуальных пользователей vsftpd. :) Да и идент на сервере как-то открывать (а точнее - запускать) - не есть гуд. ;)
ок. Большое спасибо за ответы. Огорчен, что неполучится сделать то что хотелось бы. Придется наверно ставить либо второй ftp-сервер, и его запускать для обработки внешних подключений, либо этот открывать, и надеется что не подберут пароли.
> ок. Большое спасибо за ответы. Огорчен, что неполучится сделать то что хотелось
> бы. Придется наверно ставить либо второй ftp-сервер, и его запускать дляproftpd отлично это умеет. Что-то вроде этого для login, возможны и другие варианты
<Limit LOGIN>
Order allow,deny
Allow from х.х.х.0/24
Allow from 127.0.0.1
Allow from 10.0.0.0/24
Allow from 172.16.32.0/24
Deny from all
</Limit>
>> tcp_wrapper работает с именами пользователя, несколько специфично, но вполне в духе unix
>> (а для windows тоже существует identd)
> Проблема в том, что идент ни сном, ни духом про виртуальных
> пользователей vsftpd. :)собственно, реальный пользователь на машине с запущенным idend, может быть виртуальным на машине с vsftpd
>Да и идент на сервере как-то открывать (а
> точнее - запускать) - не есть гуд. ;)запустить идент и прописать правило в firewall, разрешающее доступ к идент только для фтп-сервера, вполне есть гуд.
>[оверквотинг удален]
> chroot_local_user=YES
> listen=YES
> #listen_ipv6=YES
> #anon_root=/home/zoa/
> async_abor_enable=YES
> max_clients=10
> max_per_ip=2
> pam_service_name=vsftpd
> userlist_enable=YES
> tcp_wrappers=YESman pam_access
> man pam_accessКоллега, а знаете, в чем засада с этим модулем? В том, что он работает только с СИСТЕМНЫМИ пользователями! Виртуальных он просто игнорирует. :) Зуб даю - только что проверил. А так - очень хорошее решение - тут тебе и имя пользователя и IP есть.
>> man pam_access
> Коллега, а знаете, в чем засада с этим модулем? В том,
> что он работает только с СИСТЕМНЫМИ пользователями! Виртуальных он просто игнорирует.
> :) Зуб даю - только что проверил. А так - очень
> хорошее решение - тут тебе и имя пользователя и IP есть.Та был же HOWTO по натройке виртуальных пользователей через PAM:
http://linuxforfun.net/2008/04/05/vsftpd-virtual-users/
вот сюда и можно прикрутить
pam_access
> Та был же HOWTO по натройке виртуальных пользователей через PAM:
> http://linuxforfun.net/2008/04/05/vsftpd-virtual-users/
> вот сюда и можно прикрутить
> pam_accessЯ же говорю - "прикрутил" и попробовал (у меня виртуальные пользователи созданы и работают). :) В виде account required pam_access.so. Хрена лысого он понимает виртуальных пользователей - только на системных реагирует. Точно говорю - ибо тестировал разные варианты. Там вон ниже товарищ предложил другую сборку vsftpd - возможно, этот как раз нужный автору вопроса вариант. :) Мне-то лично это не надо - меня вполне устраивает стандартный пакет gentoo, который сейчас работает.
>> man pam_access
> Коллега, а знаете, в чем засада с этим модулем? В том,
> что он работает только с СИСТЕМНЫМИ пользователями! Виртуальных он просто игнорирует.
> :) Зуб даю - только что проверил. А так - очень
> хорошее решение - тут тебе и имя пользователя и IP есть.тогда pam_script
> тогда pam_scriptman pam_script
No manual entry for pam_script
> Господа подскажите как настроить vsftpd пускать часть юзеров с определенных ip. Т.е.
> надо чтобы пользователь vasya мог ходить на ftp только с ip
> 10.1.1.8, а пользователь admin откуда угодно(соответсвенно по паролю).
> P.S. FTP-Сервер польностью рабочий, но филтровать по ip-пока не умеет(не знаю куда
> ip-адреса прописывать) конфиг vsftpd.confМожет попробовать vsftpd от этих ребят?
http://vsftpd.devnet.ru/rus/У них там написано:
Добавлены правила доступа пользователей с определенных IP. Для включения правил в параметре users_access_ip нужно указать путь к файлу с правилами (по-умолчанию файл ищется в /etc/vsftpd.users_ip). Если пользователь не найден, то считается, что он имеет право работать с сервером. Файл имеет следующий формат: <UserName> <Remote IP/Remote Mask> [<Remote IP/Remote Mask> ....]Пример файла vsftpd.users_ip:
# UserName Remote IP/Remote Mask
4ever 10.1.237.0/24 192.168.1.0/24 122.34.56.2
chiko 10.1.156.0/24 158.76.23.54 176.32.56.32
> Может попробовать vsftpd от этих ребят?
> http://vsftpd.devnet.ru/rus/Это конечно неплохо!!! Но у них очень отстойно оформлены сборки!!! Непонятно какие библиотеки требуются для сборки их пакетов. У меня стоял vsftpd-2.0.5 установленный с rpm. Пытаюсь поставить их пакет с той же версией, при 'make' сразу начинается ругатся на sysdeputil.c И нигде нету ни требований к версиям установленных системных библиотек.
>> Может попробовать vsftpd от этих ребят?
>> http://vsftpd.devnet.ru/rus/
> Это конечно неплохо!!! Но у них очень отстойно оформлены сборки!!! Непонятно какие
> библиотеки требуются для сборки их пакетов. У меня стоял vsftpd-2.0.5 установленный
> с rpm. Пытаюсь поставить их пакет с той же версией, при
> 'make' сразу начинается ругатся на sysdeputil.c И нигде нету ни требований
> к версиям установленных системных библиотек.Я бы сказал, что у них сборок, как таковых, вообще нет, только исходники в архивчиках да диффы.
Немного в их защиту: а Вы попробуйте собрать исходники от оригинального vsftpd, столкнетесь с тем же, имхо.
>[оверквотинг удален]
>>> http://vsftpd.devnet.ru/rus/
>> Это конечно неплохо!!! Но у них очень отстойно оформлены сборки!!! Непонятно какие
>> библиотеки требуются для сборки их пакетов. У меня стоял vsftpd-2.0.5 установленный
>> с rpm. Пытаюсь поставить их пакет с той же версией, при
>> 'make' сразу начинается ругатся на sysdeputil.c И нигде нету ни требований
>> к версиям установленных системных библиотек.
> Я бы сказал, что у них сборок, как таковых, вообще нет, только
> исходники в архивчиках да диффы.
> Немного в их защиту: а Вы попробуйте собрать исходники от оригинального vsftpd,
> столкнетесь с тем же, имхо.Ну стопроцентно не скажу, vsftp ставил всегда либо с репозитария, либо с пакета, но походу у них какие-то ошибки в исходниках(вернее не совсем ошибки, а просто не совсем корректные обьявления структур). Ссылку к сожалению потерял, но наткнулся в инете на форум где у человека были теже проблемы с той же библиотекой, так народ советовал править .c и .h файлы, и помогло :)
P.s. Скачал версию 2.2.2 она собралась 8)
Мужики, я, конечно, ничего не имею против vsftpd -вполне себе достойный (да и секурный) ФТП-сервер. Но лично я, по возможности, стараюсь избежать всевозможных костылей при работе (что, конечно же, не всегда удается). Я это к тому, что если нужный функционал отсутствует изначально в vsftpd, но есть в ProFTPD (как отметили выше) -почему бы просто не перейти на этот, вполне себе достойный ФТП-сервер?
Ну, это типа, мысли вслух. :) Решать, конечно же, автору вопроса.
> есть в ProFTPD (как отметили выше) -почему бы просто не перейти
> на этот, вполне себе достойный ФТП-сервер?в pure-ftpd также есть подобный функционал
>> есть в ProFTPD (как отметили выше) -почему бы просто не перейти
>> на этот, вполне себе достойный ФТП-сервер?
> в pure-ftpd также есть подобный функционалАга, давайте мериться...
> Ага, давайте мериться...нелепо
> Ну стопроцентно не скажу, vsftp ставил всегда либо с репозитария, либо с
> пакета, но походу у них какие-то ошибки в исходниках(вернее не совсем
> ошибки, а просто не совсем корректные обьявления структур). Ссылку к сожалению
> потерял, но наткнулся в инете на форум где у человека были
> теже проблемы с той же библиотекой, так народ советовал править .c
> и .h файлы, и помогло :)
> P.s. Скачал версию 2.2.2 она собралась 8)Хм, утянул у них 2.2.2 и 2.3.4, попробовал собрать на Шапке 5.5 и на Убунте 11.04. Собралось без вопросов. Отличия есть в sysdeputil.c, но и те, как я понял, затрагивают возможность 2.3.4 работать по HTTP...
>[оверквотинг удален]
>> пакета, но походу у них какие-то ошибки в исходниках(вернее не совсем
>> ошибки, а просто не совсем корректные обьявления структур). Ссылку к сожалению
>> потерял, но наткнулся в инете на форум где у человека были
>> теже проблемы с той же библиотекой, так народ советовал править .c
>> и .h файлы, и помогло :)
>> P.s. Скачал версию 2.2.2 она собралась 8)
> Хм, утянул у них 2.2.2 и 2.3.4, попробовал собрать на Шапке 5.5
> и на Убунте 11.04. Собралось без вопросов. Отличия есть в sysdeputil.c,
> но и те, как я понял, затрагивают возможность 2.3.4 работать по
> HTTP...Вообще траблы были с 2.0.5 А уже 2.2.2 нормально собирается
ППЦ с этим vsftpd. Собираться собирается бинарник но нифига не работает, уже 2 дня колупаюсь, хрен его знает что там накосячено, но он даже не выдает чем недоволен, а просто тупо висит в памяти и даже порт не слушает!!!! Похоже придется действительно proftpd попробовать!