35801
02.02.2009, aktualisiert um 20:22:33 Uhr
8498
8
0
OpenSolaris 2008.11 als Kunden-FTP-Server
Ich müsste einen FTP Server einrichten, auf den User Daten NUR UPLOADEN und nicht downloaden oder löschen können...
Erlaubt sollte sein: Ordner anlegen + Upload aber sonst nichts...
Gibts dazu ein Tutorial oder eine Anleitung?
Oder kann mir wer in groben Zügen sagen worauf ich achten sollte... Das Ding sollte zumindest halbwegs sicher sin...
Erlaubt sollte sein: Ordner anlegen + Upload aber sonst nichts...
Gibts dazu ein Tutorial oder eine Anleitung?
Oder kann mir wer in groben Zügen sagen worauf ich achten sollte... Das Ding sollte zumindest halbwegs sicher sin...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 107857
Url: https://administrator.de/contentid/107857
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Zu beachten ist eigentlich nur, dass die FTP-User eine passende Umask beim Anlegen von Dateien verwenden (nur Schreibrechte, aber keine Leserechte). FTP sicher ist aber schonmal ein Widerspruch. In dem Fall solltest du SFTP verwenden. Bei FTP werden Passwörter im Klartext übertragen usw. Ansonsten als Doku:
man ftpaccess
man ftpusers
man ftpgroups
man ftpconversions
Mit den ftpconversions-Einstellungen sollte es sogar möglich sein einfach jede RECV-Anfrage auf eine Dummy-Datei umzuleiten.
man ftpaccess
man ftpusers
man ftpgroups
man ftpconversions
Mit den ftpconversions-Einstellungen sollte es sogar möglich sein einfach jede RECV-Anfrage auf eine Dummy-Datei umzuleiten.
Mit sicher meinte ich eher das, dass mir nicht jedes Script-Kiddy mit nem Prog aus dem Netz den gesamten Rechner kapern kann...
Daher die Frage:
Unter welchem User mit welchen Rechten den Server laufen lassen...
Oder doch lieber einen VPC als Server...??
Und wie gut ist die Idee SSH mit Standard-Config und gutem Passwort (16 Stellen Gross-, Kleinschreibung, Zahlen und Sonderz.) direkt ins Netz zu stellen oder hat SSH in der Standard Config zu viele Schwachstellen...
Bin leider kein Admin und muss aber für meine Firma etwas zurechtbasteln...
Und da habe ich gehofft von erfahrenen Admins mal den ein oder anderen Tipp aus der Praxis zu bekommen, worauf man achten sollte...
Daher die Frage:
Unter welchem User mit welchen Rechten den Server laufen lassen...
Oder doch lieber einen VPC als Server...??
Und wie gut ist die Idee SSH mit Standard-Config und gutem Passwort (16 Stellen Gross-, Kleinschreibung, Zahlen und Sonderz.) direkt ins Netz zu stellen oder hat SSH in der Standard Config zu viele Schwachstellen...
Bin leider kein Admin und muss aber für meine Firma etwas zurechtbasteln...
Und da habe ich gehofft von erfahrenen Admins mal den ein oder anderen Tipp aus der Praxis zu bekommen, worauf man achten sollte...
SSH ist in der Standard-Konfig recht sicher. Noch besser absichern kann man es, indem man die Passwort-Authentifizierung abschaltet und nur Zugang via Key zulässt, den root-Zugang deaktiviert und den Standard-Port ändert. Wenn Key-Auth zu umständlich ist (weil z.B. Laien via SFTP drauf zugreifen können müssen o.ä.), dann sollte zumindest in der Konfiguration PermitRootLogin auf 'no' gesetzt werden. Root-Rechte kann man sich ja jederzeit via pfexec oder su verschaffen.
Auch der FTP-Server von OpenSolaris ist relativ sicher, solange man immer die aktuellsten Updates einspielt. Den Rechner darüber zu kapern ist jedenfalls nicht so einfach bzw. solange keine neue Lücke bekannt wird vermutlich unmöglich, selbst wenn er als root läuft, solange root nicht zu den ftpadm gehört und der Schreibzugriff auf ftpadm-User beschränkt wird.
Ein einfaches FTP-Server-Howto für Solaris kann ich leider nicht empfehlen. Im Normalfall nutze ich die Manpages, die sehr umfangreich sind und grossteils selbst für Konfigurationsdateien existieren. Ansonsten hilft die Solaris 10 System Administrator Collection unter http://docs.sun.com/app/docs/coll/47.16 zumeist weiter und natürlich der BigAdmin-Bereich von Sun unter http://www.sun.com/bigadmin/home/index.jsp Dokus lesen wirst du also vermutlich kaum umgehen können.
Auch der FTP-Server von OpenSolaris ist relativ sicher, solange man immer die aktuellsten Updates einspielt. Den Rechner darüber zu kapern ist jedenfalls nicht so einfach bzw. solange keine neue Lücke bekannt wird vermutlich unmöglich, selbst wenn er als root läuft, solange root nicht zu den ftpadm gehört und der Schreibzugriff auf ftpadm-User beschränkt wird.
Ein einfaches FTP-Server-Howto für Solaris kann ich leider nicht empfehlen. Im Normalfall nutze ich die Manpages, die sehr umfangreich sind und grossteils selbst für Konfigurationsdateien existieren. Ansonsten hilft die Solaris 10 System Administrator Collection unter http://docs.sun.com/app/docs/coll/47.16 zumeist weiter und natürlich der BigAdmin-Bereich von Sun unter http://www.sun.com/bigadmin/home/index.jsp Dokus lesen wirst du also vermutlich kaum umgehen können.
Danke erstmal für die schnellen Antworten...
Hab noch was gefunden... IP-Filter... klingt für mich mal nach oberflächlicher betrachtung nach sowas wie IP-Tables für Linux...
IP-Filter als zusätzliche Schutzbariere bzw. zum überwachen??
Kann ich Brutforce-Angriffe erkennen und blocke und vor allem womit? zB: Nach 10 fehlgeschlagenen Login-Versuchen IP-Adresse für 24h sperren oder so...
Für FTP + SSH wenn möglich...
Hab leider nicht viel Plan und wüsste auch nicht wonach ich in dokus, docs.sun.com oder google konkret suchen sollte
Bis anfang nächster Woche wollt ich mal schauen was ich so rausfinde bzw. an Tipps bekomme und dann mal anfangen Schritt für Schritt den Rechner so hinzukriegen...
Hab noch was gefunden... IP-Filter... klingt für mich mal nach oberflächlicher betrachtung nach sowas wie IP-Tables für Linux...
IP-Filter als zusätzliche Schutzbariere bzw. zum überwachen??
Kann ich Brutforce-Angriffe erkennen und blocke und vor allem womit? zB: Nach 10 fehlgeschlagenen Login-Versuchen IP-Adresse für 24h sperren oder so...
Für FTP + SSH wenn möglich...
Hab leider nicht viel Plan und wüsste auch nicht wonach ich in dokus, docs.sun.com oder google konkret suchen sollte
Bis anfang nächster Woche wollt ich mal schauen was ich so rausfinde bzw. an Tipps bekomme und dann mal anfangen Schritt für Schritt den Rechner so hinzukriegen...
ipfilter sind die Firewall von OpenSolaris und insofern schon vergleichbar mit iptables. Diese hier zu erläutern würde aber den Rahmen des Forums sprengen. Ein Howto findet sich unter http://www.pir.net/pir/ipf/ipf-howto.html Zum Bruteforce-Schutz kann man Denyhosts oder fail2ban einsetzen. Beides muss allerdings nachinstalliert werden. Bei SSH reicht es aber normalerweise die Timeouts zwischen fehlgeschlagenen Logins entsprechend hoch zu setzen.
Kannst du mir bitte sagen, wo ich das timeout genau einstelle... den Rest hab ich mir zusammengesucht aber das finde ich nicht...
Villeicht hast du noch eine Idee für mein neuestes Thema...
Hab FTP mal am laufen aber ich kann den User nicht im FTP-Ordner einsperren und der kann mir durch das ganze Root-Filesystem wandern...
Villeicht hast du noch eine Idee für mein neuestes Thema...
Hab FTP mal am laufen aber ich kann den User nicht im FTP-Ordner einsperren und der kann mir durch das ganze Root-Filesystem wandern...
Login-Timeouts werden üblicherweise in /etc/default/login festgelegt.
Wenn deine User nicht im FTP-Ordner "eingesperrt" werden, dies aber notwendig ist, solltest du einen FTP-Server verwenden, der in einer chroot-Umgebung laufen kann.
Wenn deine User nicht im FTP-Ordner "eingesperrt" werden, dies aber notwendig ist, solltest du einen FTP-Server verwenden, der in einer chroot-Umgebung laufen kann.
Ich glaub das könnte man damit realisieren....
http://docs.sun.com/app/docs/doc/806-4076/6jd6amrd8?l=de&a=view& ...
Jedoch würed ich dich nochmal um deine Hilfe bitten...
SSH + FTP + CIFS + IPF hab ich soweit konfiguriert nur mit diesem Thema komm ich nicht klar...
Im schlimmsten Fall könnte man auch beschränken, dass UPLOADS NUR IN /DatenPool/FTPSERVER möglich sind...
Hab nur keinen plan wie ich die eine Zeile schreiben soll... Hab zwar schon mal 5 oder 6 versucht, aber die klappen nicht... Könntest mir da mal ein Muster zeigen wie sowas aussehen müsste, dann kann ich das versuchen anzupassen
Oder ist das was komplett falsches?
http://docs.sun.com/app/docs/doc/806-4076/6jd6amrd8?l=de&a=view& ...
Jedoch würed ich dich nochmal um deine Hilfe bitten...
SSH + FTP + CIFS + IPF hab ich soweit konfiguriert nur mit diesem Thema komm ich nicht klar...
Im schlimmsten Fall könnte man auch beschränken, dass UPLOADS NUR IN /DatenPool/FTPSERVER möglich sind...
Hab nur keinen plan wie ich die eine Zeile schreiben soll... Hab zwar schon mal 5 oder 6 versucht, aber die klappen nicht... Könntest mir da mal ein Muster zeigen wie sowas aussehen müsste, dann kann ich das versuchen anzupassen
Oder ist das was komplett falsches?
