The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Как настроить vsftp фильтровать пользователей по IP"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (FTP / Linux)
Изначальное сообщение [ Отслеживать ]

"Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от dnick email on 29-Сен-11, 16:23 
Господа подскажите как настроить vsftpd пускать часть юзеров с определенных ip. Т.е. надо чтобы пользователь vasya мог ходить на ftp только с ip 10.1.1.8, а пользователь admin откуда угодно(соответсвенно по паролю).

P.S. FTP-Сервер польностью рабочий, но филтровать по ip-пока не умеет(не знаю куда ip-адреса прописывать) конфиг vsftpd.conf

anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES
#chroot_list_file=/etc/vsftpd/chroot_list
chroot_local_user=YES
listen=YES
#listen_ipv6=YES
#anon_root=/home/zoa/
async_abor_enable=YES
max_clients=10
max_per_ip=2
pam_service_name=vsftpd

userlist_enable=YES
tcp_wrappers=YES

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как настроить vsftp фильтровать пользователей по IP"  +2 +/
Сообщение от skvernobot (ok) on 29-Сен-11, 16:33 
>[оверквотинг удален]
> chroot_local_user=YES
> listen=YES
> #listen_ipv6=YES
> #anon_root=/home/zoa/
> async_abor_enable=YES
> max_clients=10
> max_per_ip=2
> pam_service_name=vsftpd
> userlist_enable=YES
> tcp_wrappers=YES

http://lmgtfy.com/?q=vsftpd+tcp_wrappers

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от Дядя_Федор on 29-Сен-11, 17:20 
> http://lmgtfy.com/?q=vsftpd+tcp_wrappers

Это не то. Вернее, не совсем то. tcp_wrapper позволяет разрешить/запретить доступ к службе vsftpd на уровне IP-адресов ГЛОБАЛЬНО. Независимо от имени пользователя. Собственно, то же самое можно сделать и при помощи iptables. :)
2Автор_вопроса. Лично мне о наличии подобного функционала в vsftpd неизвестно. Допускаю, что это можно сделать при помощи настроек PAM. Но берут в меня крепкие сомнения, что это возможно. То есть - ШТАТНЫМИ средствами vsftpd (на всякий случай скажу - IMHO) это невозможно.


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Как настроить vsftp фильтровать пользователей по IP"  +1 +/
Сообщение от skvernobot (ok) on 29-Сен-11, 17:38 
>> http://lmgtfy.com/?q=vsftpd+tcp_wrappers
>  Это не то. Вернее, не совсем то. tcp_wrapper позволяет разрешить/запретить доступ
> к службе vsftpd на уровне IP-адресов ГЛОБАЛЬНО. Независимо от имени пользователя.
> Собственно, то же самое можно сделать и при помощи iptables. :)

наверное вы правы. я просто хотел показать куда примерно копать.

> 2Автор_вопроса. Лично мне о наличии подобного функционала в vsftpd неизвестно. Допускаю,
> что это можно сделать при помощи настроек PAM. Но берут в
> меня крепкие сомнения, что это возможно. То есть - ШТАТНЫМИ средствами
> vsftpd (на всякий случай скажу - IMHO) это невозможно.

от себя добавлю что то что хочет автор + виртуальные пользователи + врапер по имени пользователя и ипадресам/сетям и тд 100% реализуется на proftpd.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от a2l email on 30-Сен-11, 06:42 
>> http://lmgtfy.com/?q=vsftpd+tcp_wrappers
>  Это не то. Вернее, не совсем то. tcp_wrapper позволяет разрешить/запретить доступ
> к службе vsftpd на уровне IP-адресов ГЛОБАЛЬНО. Независимо от имени пользователя.
> Собственно, то же самое можно сделать и при помощи iptables. :)
> 2Автор_вопроса. Лично мне о наличии подобного функционала в vsftpd неизвестно. Допускаю,
> что это можно сделать при помощи настроек PAM. Но берут в
> меня крепкие сомнения, что это возможно. То есть - ШТАТНЫМИ средствами
> vsftpd (на всякий случай скажу - IMHO) это невозможно.

tcp_wrapper работает с именами пользователя, несколько специфично, но вполне в духе unix
(а для windows тоже существует identd)

CLIENT USERNAME LOOKUP
       When the client host supports the RFC 931 protocol or one of its descendants (TAP, IDENT, RFC 1413) the wrapper programs can retrieve additional information  about  the  owner  of  a  connection.
       Client username information, when available, is logged together with the client host name, and can be used to match patterns like:

          daemon_list : ... user_pattern@host_pattern ...

(man host_access)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от Дядя_Федор on 30-Сен-11, 11:50 
> tcp_wrapper работает с именами пользователя, несколько специфично, но вполне в духе unix
> (а для windows тоже существует identd)

Проблема в том, что идент ни сном, ни духом про виртуальных пользователей vsftpd. :) Да и идент на сервере как-то открывать (а точнее - запускать) - не есть гуд. ;)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от dnick email on 30-Сен-11, 13:05 
ок. Большое спасибо за ответы. Огорчен, что неполучится сделать то что хотелось бы. Придется наверно ставить либо второй ftp-сервер, и его запускать для обработки внешних подключений, либо этот открывать, и надеется что не подберут пароли.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от YuryD (??) on 30-Сен-11, 15:10 
> ок. Большое спасибо за ответы. Огорчен, что неполучится сделать то что хотелось
> бы. Придется наверно ставить либо второй ftp-сервер, и его запускать для

proftpd отлично это умеет. Что-то вроде этого для login, возможны и другие варианты

<Limit LOGIN>
        Order allow,deny
        Allow from х.х.х.0/24
        Allow from 127.0.0.1
        Allow from 10.0.0.0/24
        Allow from 172.16.32.0/24
        Deny from all
</Limit>

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от a2l email on 30-Сен-11, 13:35 
>> tcp_wrapper работает с именами пользователя, несколько специфично, но вполне в духе unix
>> (а для windows тоже существует identd)
>  Проблема в том, что идент ни сном, ни духом про виртуальных
> пользователей vsftpd. :)

собственно, реальный пользователь на машине с запущенным idend, может быть виртуальным на машине с vsftpd
>Да и идент на сервере как-то открывать (а
> точнее - запускать) - не есть гуд. ;)

запустить идент и прописать правило в firewall, разрешающее доступ к идент только для фтп-сервера, вполне есть гуд.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от тень_pavel_simple on 30-Сен-11, 13:12 
>[оверквотинг удален]
> chroot_local_user=YES
> listen=YES
> #listen_ipv6=YES
> #anon_root=/home/zoa/
> async_abor_enable=YES
> max_clients=10
> max_per_ip=2
> pam_service_name=vsftpd
> userlist_enable=YES
> tcp_wrappers=YES

man pam_access

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от Дядя_Федор on 30-Сен-11, 15:30 
> man pam_access

Коллега, а знаете, в чем засада с этим модулем? В том, что он работает только с СИСТЕМНЫМИ пользователями! Виртуальных он просто игнорирует. :) Зуб даю - только что проверил. А так - очень хорошее решение - тут тебе и имя пользователя и IP есть.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от Nicknnn (ok) on 30-Сен-11, 18:18 
>> man pam_access
>  Коллега, а знаете, в чем засада с этим модулем? В том,
> что он работает только с СИСТЕМНЫМИ пользователями! Виртуальных он просто игнорирует.
> :) Зуб даю - только что проверил. А так - очень
> хорошее решение - тут тебе и имя пользователя и IP есть.

Та был же HOWTO по натройке виртуальных пользователей через PAM:
http://linuxforfun.net/2008/04/05/vsftpd-virtual-users/
вот сюда и можно прикрутить
pam_access


Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от Дядя_Федор email on 01-Окт-11, 09:56 
> Та был же HOWTO по натройке виртуальных пользователей через PAM:
> http://linuxforfun.net/2008/04/05/vsftpd-virtual-users/
> вот сюда и можно прикрутить
>  pam_access

Я же говорю - "прикрутил" и попробовал (у меня виртуальные пользователи созданы и работают). :) В виде account required pam_access.so. Хрена лысого он понимает виртуальных пользователей - только на системных реагирует. Точно говорю - ибо тестировал разные варианты. Там вон ниже товарищ предложил другую сборку vsftpd - возможно, этот как раз нужный автору вопроса вариант. :) Мне-то лично это не надо - меня вполне устраивает стандартный пакет gentoo, который сейчас работает.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от тень_pavel_simple on 01-Окт-11, 00:16 
>> man pam_access
>  Коллега, а знаете, в чем засада с этим модулем? В том,
> что он работает только с СИСТЕМНЫМИ пользователями! Виртуальных он просто игнорирует.
> :) Зуб даю - только что проверил. А так - очень
> хорошее решение - тут тебе и имя пользователя и IP есть.

тогда pam_script

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от Дядя_Федор email on 01-Окт-11, 09:58 
> тогда pam_script

man pam_script
No manual entry for pam_script

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

11. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от Дмитрий (??) on 30-Сен-11, 17:45 
> Господа подскажите как настроить vsftpd пускать часть юзеров с определенных ip. Т.е.
> надо чтобы пользователь vasya мог ходить на ftp только с ip
> 10.1.1.8, а пользователь admin откуда угодно(соответсвенно по паролю).
> P.S. FTP-Сервер польностью рабочий, но филтровать по ip-пока не умеет(не знаю куда
> ip-адреса прописывать) конфиг vsftpd.conf

Может попробовать vsftpd от этих ребят?
http://vsftpd.devnet.ru/rus/

У них там написано:
Добавлены правила доступа пользователей с определенных IP. Для включения правил в параметре users_access_ip нужно указать путь к файлу с правилами (по-умолчанию файл ищется в /etc/vsftpd.users_ip). Если пользователь не найден, то считается, что он имеет право работать с сервером. Файл имеет следующий формат: <UserName> <Remote IP/Remote Mask> [<Remote IP/Remote Mask> ....]

Пример файла vsftpd.users_ip:
# UserName      Remote IP/Remote Mask
4ever           10.1.237.0/24  192.168.1.0/24 122.34.56.2
chiko           10.1.156.0/24  158.76.23.54   176.32.56.32

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от dnick email on 03-Окт-11, 16:05 
> Может попробовать vsftpd от этих ребят?
> http://vsftpd.devnet.ru/rus/

Это конечно неплохо!!! Но у них очень отстойно оформлены сборки!!! Непонятно какие библиотеки требуются для сборки их пакетов. У меня стоял vsftpd-2.0.5 установленный с rpm. Пытаюсь поставить их пакет с той же версией, при 'make' сразу начинается ругатся на sysdeputil.c И нигде нету ни требований к версиям установленных системных библиотек.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от Дмитрий (??) on 03-Окт-11, 16:48 
>> Может попробовать vsftpd от этих ребят?
>> http://vsftpd.devnet.ru/rus/
> Это конечно неплохо!!! Но у них очень отстойно оформлены сборки!!! Непонятно какие
> библиотеки требуются для сборки их пакетов. У меня стоял vsftpd-2.0.5 установленный
> с rpm. Пытаюсь поставить их пакет с той же версией, при
> 'make' сразу начинается ругатся на sysdeputil.c И нигде нету ни требований
> к версиям установленных системных библиотек.

Я бы сказал, что у них сборок, как таковых, вообще нет, только исходники в архивчиках да диффы.
Немного в их защиту: а Вы попробуйте собрать исходники от оригинального vsftpd, столкнетесь с тем же, имхо.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от dnick email on 04-Окт-11, 10:38 
>[оверквотинг удален]
>>> http://vsftpd.devnet.ru/rus/
>> Это конечно неплохо!!! Но у них очень отстойно оформлены сборки!!! Непонятно какие
>> библиотеки требуются для сборки их пакетов. У меня стоял vsftpd-2.0.5 установленный
>> с rpm. Пытаюсь поставить их пакет с той же версией, при
>> 'make' сразу начинается ругатся на sysdeputil.c И нигде нету ни требований
>> к версиям установленных системных библиотек.
> Я бы сказал, что у них сборок, как таковых, вообще нет, только
> исходники в архивчиках да диффы.
> Немного в их защиту: а Вы попробуйте собрать исходники от оригинального vsftpd,
> столкнетесь с тем же, имхо.

Ну стопроцентно не скажу, vsftp ставил всегда либо с репозитария, либо с пакета, но походу у них какие-то ошибки в исходниках(вернее не совсем ошибки, а просто не совсем корректные обьявления структур). Ссылку к сожалению потерял, но наткнулся в инете на форум где у человека были теже проблемы с той же библиотекой, так народ советовал править .c и .h файлы, и помогло :)

P.s. Скачал версию 2.2.2 она собралась 8)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от Дядя_Федор on 04-Окт-11, 10:47 
Мужики, я, конечно, ничего не имею против vsftpd -вполне себе достойный (да и секурный) ФТП-сервер. Но лично я, по возможности, стараюсь избежать всевозможных костылей при работе (что, конечно же, не всегда удается). Я это к тому, что если нужный функционал отсутствует изначально в vsftpd, но есть в ProFTPD (как отметили выше) -почему бы просто не перейти на этот, вполне себе достойный ФТП-сервер?
Ну, это типа, мысли вслух. :) Решать, конечно же, автору вопроса.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от Pahanivo (ok) on 04-Окт-11, 11:03 
> есть в ProFTPD (как отметили выше) -почему бы просто не перейти
> на этот, вполне себе достойный ФТП-сервер?

в pure-ftpd также есть подобный функционал

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от Дмитрий (??) on 04-Окт-11, 13:55 
>> есть в ProFTPD (как отметили выше) -почему бы просто не перейти
>> на этот, вполне себе достойный ФТП-сервер?
> в pure-ftpd также есть подобный функционал

Ага, давайте мериться...

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от Pahanivo (ok) on 04-Окт-11, 14:25 
> Ага, давайте мериться...

нелепо

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

22. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от Дмитрий (??) on 04-Окт-11, 13:59 
> Ну стопроцентно не скажу, vsftp ставил всегда либо с репозитария, либо с
> пакета, но походу у них какие-то ошибки в исходниках(вернее не совсем
> ошибки, а просто не совсем корректные обьявления структур). Ссылку к сожалению
> потерял, но наткнулся в инете на форум где у человека были
> теже проблемы с той же библиотекой, так народ советовал править .c
> и .h файлы, и помогло :)
> P.s. Скачал версию 2.2.2 она собралась 8)

Хм, утянул у них 2.2.2 и 2.3.4, попробовал собрать на Шапке 5.5 и на Убунте 11.04. Собралось без вопросов. Отличия есть в sysdeputil.c, но и те, как я понял, затрагивают возможность 2.3.4 работать по HTTP...

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от dnick email on 04-Окт-11, 14:45 
>[оверквотинг удален]
>> пакета, но походу у них какие-то ошибки в исходниках(вернее не совсем
>> ошибки, а просто не совсем корректные обьявления структур). Ссылку к сожалению
>> потерял, но наткнулся в инете на форум где у человека были
>> теже проблемы с той же библиотекой, так народ советовал править .c
>> и .h файлы, и помогло :)
>> P.s. Скачал версию 2.2.2 она собралась 8)
> Хм, утянул у них 2.2.2 и 2.3.4, попробовал собрать на Шапке 5.5
> и на Убунте 11.04. Собралось без вопросов. Отличия есть в sysdeputil.c,
> но и те, как я понял, затрагивают возможность 2.3.4 работать по
> HTTP...

Вообще траблы были с 2.0.5   А уже 2.2.2 нормально собирается

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Как настроить vsftp фильтровать пользователей по IP"  +/
Сообщение от dnick email on 06-Окт-11, 15:52 
ППЦ с этим vsftpd. Собираться собирается бинарник но нифига не работает, уже 2 дня колупаюсь, хрен его знает что там накосячено, но он даже не выдает чем недоволен, а просто тупо висит в памяти и даже порт не слушает!!!! Похоже придется действительно proftpd попробовать!
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру