Hallo,
ich versuche, (in einer Umgebung mit gemaessigten Sicherheitsanspruechen, bevor die Buuh-FTP-Rufer kommen) anonymes FTP anzubieten. Dabei soll es ein Verzeichniss /srv/daten geben, was nur fuer einen bestimmtes subnet einzusehen ist und ein /srv/daten/public, was darueberhinaus noch einem weiteren subnet zugaenglich ist. Okay, Mittel der Qual ist ProFTPD 1.3.0 aus dem Debian Etch mit der (gekuerzten) Konfiguration:
From 192.168.1.0/24
From 10.1.0.0/16
User ftp
Group nogroup
UserAlias anonymous ftp
DirFakeUser on ftp
DirFakeGroup on ftp
RequireValidShell off
AllowClass goodboys
DenyAll
AllowClass badboys
DenyAll
Funktioniert natuerlich nur zur Haelfte. Die goodboys kommen ueberall hin, aber die badboys nicht nach public (oder sonstwo). Im logfile erscheint ein
ANON anonymous (Login failed): Limit access denies login.
Ich hab jetzt auch schon diverse Varianten mit ‚Allow from 10.1.‘ durch, was aber zu identischen Ergebnissen fuehrte. Aus der Doku:
Per-directory configuration is enabled during run-time with a „closest“ match algorithm, meaning that the directive with the closest matching path to the actual pathname of the file or directory in question is used. Per-directory configuration is inherited by all sub-directories until a closer matching is encountered, at which time the original per-directory configuration is replaced with the closer match. Note that this does not apply to blocks, which are inherited by all sub-directories until a block is reached in a closer match.
Ich versteh das so, dass das aus dem closest match genommen wird. Anscheinend ist das aber falsch.
Hat jemand eine Idee? Wie kriegt man den dazu, so zu tun wie das soll?
(Nein, ich kann nicht /srv/public bauen und allen zugaenglich machen und dort /srv/public/daten verstecken. /srv/daten wird per NFS an goodboys rausgereicht und /srv/daten/public an badboys. Ich will parallel einen Zugang per FTP anbieten.)
Danke im Voraus,
Gruss vom Frank.