[Resolu] Autoriser nobody à utiliser ftp

laguespa · 11-02-2016 15:50:05

Bonjour.

Sur ma piratebox j'ai un utilisateur nobody qui est propriétaire des répertoires qui sont mis en partage. C'est comme ça par défaut. Cet utilisateur n'a pas de /home et si j'essaie de me connecter en ssh avec ce compte il m'est répondu que

Could not chdir to home directory /nonexistent: No such file or directory

This account is currently not available.

Connection to 192.168.77.1 closed.

Pour des raisons pratiques et parce que les répertoires en partage lui appartiennent, j'aimerais pouvoir me connecter en ftp avec cet utilisateur.

J'ai installé proftpd.

Dans /etc/ftpusers j'ai commenté l'utilisateur nobody :

cat /etc/ftpusers

 

# /etc/ftpusers: list of users disallowed FTP access. See ftpusers(5).

root

daemon

bin

sys

sync

games

man

lp

mail

news

uucp

#nobody

J'ai redémarré la piratebox mais je n'arrive pas à me connecter en ftp avec cet utilisateur.

Est-ce qu'il y a un fichier de configuration qu'il faudrait modifier ?

A+

Dernière modification par laguespa (13-02-2016 14:23:52)

avram · 11-02-2016 16:55:35

les utilisateurs ftp et ssh doivent être des utilisateurs régulièrement enregistrés sur votre système,c'est à dire des utilisateurs avec login et passwd,l'utilisateur nobody ne fait pas partie de cette catégorie donc il ne peut pas se connecter en ssh ou en ftp sur votre machine.Avec ftp les utilisateurs seront bien sûr chrootés dans le répertoire ftp que vous aurez vous même choisi.

laguespa · 11-02-2016 17:55:42

Bonjour et merci de ton attention.

Pourtant, sur une version augmentée de la piratebox appelée bibliobox, il est possible de se connecter en ftp avec l'utilisateur nobody. Je ne sais pas exactement quelles modifications ont été apportées pour que ce soir rendu possible. D'autre part j'ai lu ici http://www.trustonme.net/didactels/58.html qu'il était possible d'utiliser l'utilisateur nobody mais je n'y arrive pas.

A+

leonlemouton · 11-02-2016 20:01:20

Salut,
Dans le fichier /etc/proftpd/proftpd.conf, pour utiliser le fichier /etc/ftpusers, il faut ça :

<Global>

   UseFtpUsers on

</Global>

à vérifier...

Source : http://www.linuxtricks.fr/wiki/ftp-inst … ce-proftpd

Bon courage !

laguespa · 12-02-2016 12:17:08

J'ai mis ça

cat /etc/proftpd/proftpd.conf 

# Autoriser utilisateurs de /etc/ftpusers

<Global>

   UseFtpUsers on

</Global>

Et ça dans ftpusers :

cat /etc/ftpusers

# /etc/ftpusers: list of users disallowed FTP access. See ftpusers(5).

#root

#daemon

#bin

#sys

#sync

#games

#man

#lp

#mail

#news

#uucp

nobody

ce qui normalement devrait m'autoriser à me connecter avec l'utilisateur nobody mais ça ne fonctionne pas.
Du coup je pense que c'est lié à certaines particularités de l'utilisateur nobody.
Par précaution j'ai ajouté /bin/false dans /etc/shells mais ça ne change rien et de toute façon pour nobody dans /etc/passwd c'est nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin

A+

Dernière modification par laguespa (12-02-2016 13:01:32)

avram · 12-02-2016 12:56:44

mais votre "utilisateur" nobody n'est pas un utilisateur normalement enregistré sur votre système;il n'a pas de mot de passe.
Pour comprendre mieux cette notion essayez de vous connecter sur votre ftp avec l'utilisateur nobody en utilisant la commande:

ftp<adresse-ip-locale-de- votre-ftp>

laguespa · 12-02-2016 13:17:18

Je me connecte de cette manière depuis le client :

$

ftp

ftp> open 192.168.77.1

Connected to 192.168.77.1.

220 ProFTPD 1.3.5 Server (RaspGeNUx) [::ffff:192.168.77.1]

Name (192.168.77.1:laguespa): nobody

331 Mot de passe requis pour nobody

Password:

530 Authentification incorrecte.

Login failed.

Remote system type is UNIX.

Using binary mode to transfer files.

Et ça veut dire quoi alors ?

Edit à toto :
Mis la commande user séparée de son retour et sans le $ pisque c'est marqué dans l'encart.

avram · 12-02-2016 13:48:04

331 Mot de passe requis pour nobody
Password:
530 Authentification incorrecte.
Login failed.

et quel mot de passe pouvez vous renseigner pour l'utilisateur nobody? aucun car il n'est pas prévu qu'il en ait un.

Dernière modification par avram (12-02-2016 13:50:01)

laguespa · 12-02-2016 14:13:51

Oui, c'est exact.
Je lui en ai donné un avec la commande :

passwd nobody

 

que j'ai utilisé mais ça ne change rien.

A quoi sert donc cet utilisateur nobody qui est propriétaire des répertoires mis en partage alors ?

Dernière modification par laguespa (12-02-2016 14:14:10)

avram · 12-02-2016 15:42:12

A quoi sert donc cet utilisateur nobody qui est propriétaire des répertoires mis en partage alors ?

http://askubuntu.com/questions/426990/w … n-uucp-etc

laguespa · 12-02-2016 16:29:32

Ok, merci pour ces informations et bonne journée.

avram · 12-02-2016 18:40:10

laguespa a écrit :

J'ai mis ça

cat /etc/proftpd/proftpd.conf

# Autoriser utilisateurs de /etc/ftpusers
<Global>
UseFtpUsers on
</Global>

Et ça dans ftpusers :
cat /etc/ftpusers

# /etc/ftpusers: list of users disallowed FTP access. See ftpusers(5).

#root
#daemon
#bin
#sys
#sync
#games
#man
#lp
#mail
#news
#uucp
nobody

ce qui normalement devrait m'autoriser à me connecter avec l'utilisateur nobody mais ça ne fonctionne pas.
Du coup je pense que c'est lié à certaines particularités de l'utilisateur nobody.
Par précaution j'ai ajouté /bin/false dans /etc/shells mais ça ne change rien et de toute façon pour nobody dans /etc/passwd c'est nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin

A+

Le fichier ftpusers donne la liste des utilisateurs qui sont interdits de connexion ftp et pas ceux qui sont autorisés à se connecter;attention parce que le nom de ce fichier est trompeur.Il ne faut pas modifier le contenu de ce fichier,tout au plus ajouter de nouveaux users mais pas en enlever et ceci pour des raisons de sécurité Si vous avez bien lu le lien que je vous ai donné vous avez compris que vous ne pouvez pas vous connecter en ssh ou ftp avec nobody.
Ne bricolez pas les fichiers sensibles pour la sécurité sous peine de compromettre votre machine.

Dernière modification par avram (12-02-2016 18:42:10)

laguespa · 12-02-2016 18:45:18

Ok, merci, je l'ai remis dans son état initial.

A+

avram · 12-02-2016 19:01:56

vous créez un utilisateur ftp toto,vous mettez toto dans le groupe nogroup,vous donnez les droits775 sur /opt/piratbox/share,vous chrootez toto dans ce réprtoire share et vous pourrez uploader des fichiers dans share en utilisant ftp.
Au départ vous avez omis de donner les infos concernant le fichier share,d'où la longueur de ce post.

smolski · 12-02-2016 19:02:20

Ouch' !
Comment qu'y s'est fait taper sur les doigts le laguespa là !

Dernière modification par smolski (12-02-2016 19:02:40)

avram · 12-02-2016 19:05:23

smolski a écrit :

Ouch' !
Comment qu'y s'est fait taper sur les doigts le laguespa là !

mais non smolski,y'a pas de père fouettard sur ce forum

laguespa · 12-02-2016 19:34:29

Ok. Je crois que j'ai fait le tour de la question.

Mais ça veut dire quoi "chrooter toto dans le répertoire share" ?

A+

avram · 12-02-2016 20:21:43

Mais ça veut dire quoi "chrooter toto dans le répertoire share" ?

le répertoire de chroot des utilisateurs se définit dans /etc/proftpd/proftpd.conf à la ligne:

# Use this to jail all users in their homes
DefaultRoot /opt/piratbox/share

et relancer proftpd en faisant

/etc/init.d/proftpd restart

pour que les changements dans proftpd.conf soient pris en charge.

laguespa · 12-02-2016 21:10:47

avram a écrit :

vous créez un utilisateur ftp toto,vous mettez toto dans le groupe nogroup,vous donnez les droits775 sur /opt/piratbox/share,vous chrootez toto dans ce réprtoire share et vous pourrez uploader des fichiers dans share en utilisant ftp.
Au départ vous avez omis de donner les infos concernant le fichier share,d'où la longueur de ce post.

Il faut que je précise qu'un script de la piratebox remet les droits de share en 755 à chaque démarrage.

avram · 12-02-2016 21:15:58

Il faut que je précise qu'un script de la piratebox remet les droits de share en 755 à chaque démarrage.

là je ne sais pas,je ne connais pas piratbox et ne l'ai jamais utilisé;faudrait lire la doc pour voir si il y a moyen de passer les droits de 755 à775 par défaut.

laguespa · 12-02-2016 21:50:47

Je ne sais pas pour quelle raison mais quelque chose ne fonctionne plus.

J'ai un utilisateur agenux qui me permet de me connecter en ftp.
Dans /opt/piratebox/share/Shared j'ai créé un répertoire Musique dont agenux est le propriétaire

ls -l /opt/piratebox/share/Shared/

 

total 56

drwxr-xr-x 3 nobody nogroup 4096 janv. 30 16:53 Agenux

drwxr-xr-x 5 nobody nogroup 4096 févr.  3 05:51 Associations_presentes

drwxr-xr-x 2 nobody nogroup 4096 janv. 28 12:52 autre_chose

-rwxr-xr-x 1 nobody nogroup  815 janv. 25 18:23 HEADER.txt

drwxr-xr-x 2 nobody nogroup 4096 janv. 28 12:51 Image

drwxr-xr-x 2 nobody nogroup 4096 janv. 31 00:30 Intervenants

drwxr-xr-x 2 agenux agenux  4096 févr.  5 18:16 Musique

drwxr-xr-x 2 nobody nogroup 4096 janv. 23 14:27 PDF

drwxr-xr-x 2 nobody nogroup 4096 févr.  3 05:26 Programme

-rwxr-xr-x 1 nobody nogroup 1616 févr.  3 14:30 README.txt

drwxr-xr-x 2 nobody nogroup 4096 janv. 30 21:56 Ressource

drwxr-xr-x 2 nobody nogroup 4096 févr.  5 08:22 Restauration

drwxr-xr-x 2 nobody nogroup 4096 févr.  2 19:28 Video

drwxr-xr-x 5 nobody nogroup 4096 janv. 23 14:29 Vie privee

Quand je me connectais en ftp avec l'utilisateur agenux il m'était possible d'aller dans le répertoire /opt/piratebox/share/Shared/Musique et d'y faire des modifications. Bizarrement maintenant je ne peux plus.
L'utilisateur agenux est limité à son /home. Je crois me souvenir qu'il y a une option à modifier dans /etc/proftpd/proftpd.conf est-ce que vous savez laquelle ?

A+

laguespa · 12-02-2016 21:55:40

Ayé, j'ai retrouvé. Dans /etc/proftpd/proftpd.conf il faut commenter

cat /etc/proftpd/proftpd.conf

 

#DefaultRoot                    ~

 

Dernière modification par laguespa (12-02-2016 21:56:03)

avram · 12-02-2016 22:00:34

faites déjà voir votre fichier proftpd.conf,en fait la ligne qui permet de chrooter les utilisateurs.

Je viens de lire votre post juste avant; si vous diésez la ligne "defaulRoot" alors l'utilisateur pourra se ballader dans toute l'arborescence de votre système,mauvaise limonade pour la sécurité.Il faudrait que je comprenne exactement ce que vous voulez faire et dans quel répertoire.Vous voulez avoir le droit en écriture dans /opt/piratbox/share ou dans /opt/piratbox/share/shared ?? ou autre??

Dernière modification par avram (12-02-2016 22:09:23)

laguespa · 12-02-2016 22:58:45

Je voudrais avoir les droits en lecture et écriture dans /opt/piratebox/share/Shared

Voici mon fichier :

cat /etc/proftpd/proftpd.conf

 

#

# /etc/proftpd/proftpd.conf -- This is a basic ProFTPD configuration file.

# To really apply changes, reload proftpd after modifications, if

# it runs in daemon mode. It is not required in inetd/xinetd mode.

# 

# Includes DSO modules

Include /etc/proftpd/modules.conf

# Set off to disable IPv6 support which is annoying on IPv4 only boxes.

UseIPv6       on

# If set on you can experience a longer connection delay in many cases.

IdentLookups      off

ServerName      "RaspGeNUx"

ServerType      standalone

DeferWelcome      off

MultilineRFC2228    on

DefaultServer     on

ShowSymlinks      on

TimeoutNoTransfer   600

TimeoutStalled      600

TimeoutIdle     1200

DisplayLogin                    welcome.msg

DisplayChdir                .message true

ListOptions                 "-l"

DenyFilter      \*.*/

# Use this to jail all users in their homes 

#DefaultRoot      ~

#DefaultRoot      /opt/piratebox/share/

# Users require a valid shell listed in /etc/shells to login.

# Use this directive to release that constrain.

# RequireValidShell   off

# Port 21 is the standard FTP port.

Port        21

# In some cases you have to specify passive ports range to by-pass

# firewall limitations. Ephemeral ports can be used for that, but

# feel free to use a more narrow range.

PassivePorts                  49152 65534

# If your host was NATted, this option is useful in order to

# allow passive tranfers to work. You have to use your public

# address and opening the passive ports used on your firewall as well.

# MasqueradeAddress   1.2.3.4

# This is useful for masquerading address with dynamic IPs:

# refresh any configured MasqueradeAddress directives every 8 hours

<IfModule mod_dynmasq.c>

# DynMasqRefresh 28800

</IfModule>

# To prevent DoS attacks, set the maximum number of child processes

# to 30.  If you need to allow more than 30 concurrent connections

# at once, simply increase this value.  Note that this ONLY works

# in standalone mode, in inetd mode you should use an inetd server

# that allows you to limit maximum number of processes per service

# (such as xinetd)

MaxInstances      30

# Set the user and group that the server normally runs at.

User        proftpd

Group       nogroup

# Autoriser utilisateurs de /etc/ftpusers

#<Global>

#   UseFtpUsers on

#</Global>

# Umask 022 is a good standard umask to prevent new files and dirs

# (second parm) from being group and world writable.

Umask       022  022

# Normally, we want files to be overwriteable.

AllowOverwrite      on

# Uncomment this if you are using NIS or LDAP via NSS to retrieve passwords:

# PersistentPasswd    off

# This is required to use both PAM-based authentication and local passwords

# AuthOrder     mod_auth_pam.c* mod_auth_unix.c

# Be warned: use of this directive impacts CPU average load!

# Uncomment this if you like to see progress and transfer rate with ftpwho

# in downloads. That is not needed for uploads rates.

#

# UseSendFile     off

TransferLog /var/log/proftpd/xferlog

SystemLog   /var/log/proftpd/proftpd.log

# Logging onto /var/log/lastlog is enabled but set to off by default

#UseLastlog on

# In order to keep log file dates consistent after chroot, use timezone info

# from /etc/localtime.  If this is not set, and proftpd is configured to

# chroot (e.g. DefaultRoot or <Anonymous>), it will use the non-daylight

# savings timezone regardless of whether DST is in effect.

#SetEnv TZ :/etc/localtime

<IfModule mod_quotatab.c>

QuotaEngine off

</IfModule>

<IfModule mod_ratio.c>

Ratios off

</IfModule>

# Delay engine reduces impact of the so-called Timing Attack described in

# http://www.securityfocus.com/bid/11430/discuss

# It is on by default. 

<IfModule mod_delay.c>

DelayEngine on

</IfModule>

<IfModule mod_ctrls.c>

ControlsEngine        off

ControlsMaxClients    2

ControlsLog           /var/log/proftpd/controls.log

ControlsInterval      5

ControlsSocket        /var/run/proftpd/proftpd.sock

</IfModule>

<IfModule mod_ctrls_admin.c>

AdminControlsEngine off

</IfModule>

#

# Alternative authentication frameworks

#

#Include /etc/proftpd/ldap.conf

#Include /etc/proftpd/sql.conf

#

# This is used for FTPS connections

#

#Include /etc/proftpd/tls.conf

#

# Useful to keep VirtualHost/VirtualRoot directives separated

#

#Include /etc/proftpd/virtuals.conf

# A basic anonymous configuration, no upload directories.

# <Anonymous ~ftp>

#   User        ftp

#   Group       nogroup

#   # We want clients to be able to login with "anonymous" as well as "ftp"

#   UserAlias     anonymous ftp

#   # Cosmetic changes, all files belongs to ftp user

#   DirFakeUser on ftp

#   DirFakeGroup on ftp

# 

#   RequireValidShell   off

# 

#   # Limit the maximum number of anonymous logins

#   MaxClients      10

# 

#   # We want 'welcome.msg' displayed at login, and '.message' displayed

#   # in each newly chdired directory.

#   DisplayLogin      welcome.msg

#   DisplayChdir    .message

# 

#   # Limit WRITE everywhere in the anonymous chroot

#   <Directory *>

#     <Limit WRITE>

#       DenyAll

#     </Limit>

#   </Directory>

# 

#   # Uncomment this if you're brave.

#   # <Directory incoming>

#   #   # Umask 022 is a good standard umask to prevent new files and dirs

#   #   # (second parm) from being group and world writable.

#   #   Umask       022  022

#   #            <Limit READ WRITE>

#   #            DenyAll

#   #            </Limit>

#   #            <Limit STOR>

#   #            AllowAll

#   #            </Limit>

#   # </Directory>

# 

# </Anonymous>

# Include other custom configuration files

Include /etc/proftpd/conf.d/

Dernière modification par laguespa (12-02-2016 23:00:05)

avram · 12-02-2016 23:22:51

# Use this to jail all users in their homes
#DefaultRoot ~
#DefaultRoot /opt/piratebox/share/

pas bon,deux répertoires de chroot;il n'en faut que un seul; et diésés tous les deux pour n'en avoir aucun au final.
Voici la bonne ligne:

# Use this to jail all users in their homes
DefaultRoot /opt/piratebox/share

L'utilisateur agenux sera chrooté dans share.

Dernière modification par avram (12-02-2016 23:55:37)

Debian-facile

#1 11-02-2016 15:50:05

[Resolu] Autoriser nobody à utiliser ftp

#2 11-02-2016 16:55:35

Re : [Resolu] Autoriser nobody à utiliser ftp

#3 11-02-2016 17:55:42

Re : [Resolu] Autoriser nobody à utiliser ftp

#4 11-02-2016 20:01:20

Re : [Resolu] Autoriser nobody à utiliser ftp

#5 12-02-2016 12:17:08

Re : [Resolu] Autoriser nobody à utiliser ftp

#6 12-02-2016 12:56:44

Re : [Resolu] Autoriser nobody à utiliser ftp

#7 12-02-2016 13:17:18

Re : [Resolu] Autoriser nobody à utiliser ftp

#8 12-02-2016 13:48:04

Re : [Resolu] Autoriser nobody à utiliser ftp

#9 12-02-2016 14:13:51

Re : [Resolu] Autoriser nobody à utiliser ftp

#10 12-02-2016 15:42:12

Re : [Resolu] Autoriser nobody à utiliser ftp

#11 12-02-2016 16:29:32

Re : [Resolu] Autoriser nobody à utiliser ftp

#12 12-02-2016 18:40:10

Re : [Resolu] Autoriser nobody à utiliser ftp

#13 12-02-2016 18:45:18

Re : [Resolu] Autoriser nobody à utiliser ftp

#14 12-02-2016 19:01:56

Re : [Resolu] Autoriser nobody à utiliser ftp

#15 12-02-2016 19:02:20

Re : [Resolu] Autoriser nobody à utiliser ftp

#16 12-02-2016 19:05:23

Re : [Resolu] Autoriser nobody à utiliser ftp

#17 12-02-2016 19:34:29

Re : [Resolu] Autoriser nobody à utiliser ftp

#18 12-02-2016 20:21:43

Re : [Resolu] Autoriser nobody à utiliser ftp

#19 12-02-2016 21:10:47

Re : [Resolu] Autoriser nobody à utiliser ftp

#20 12-02-2016 21:15:58

Re : [Resolu] Autoriser nobody à utiliser ftp

#21 12-02-2016 21:50:47

Re : [Resolu] Autoriser nobody à utiliser ftp

#22 12-02-2016 21:55:40

Re : [Resolu] Autoriser nobody à utiliser ftp

#23 12-02-2016 22:00:34

Re : [Resolu] Autoriser nobody à utiliser ftp

#24 12-02-2016 22:58:45

Re : [Resolu] Autoriser nobody à utiliser ftp

#25 12-02-2016 23:22:51

Re : [Resolu] Autoriser nobody à utiliser ftp

Pied de page des forums