[proftpd] Login scheitert nur bei einem Benutzer

[homix]

Hallo zusamnmen,

ich habe auf einem Debian Sarge einen proftd installiert und eingerichtet. Fast alles klappt, jedoch kann ein einzelner User (michael) sich nicht einloggen.

Alle Benutzer sind in der sekundären Gruppe ftpuser und der besagte User (michael) kann sich auch erfolgreich via SSH einloggen.

In den proftpd-logfiles unterscheidet sich die fehlgeschlagene Einwahl dadurch, dass der besagte User (michael) offensichtlich nicht korrekt erkannt wird (?). Dort steht anders als bei den erfolgreichen Usern nicht der Username sondern nobody.

Code: Select all

84.131.182.15  morph [25/Nov/2005:19:33:10 +0100] "PASS (hidden)" 230 &b
84.131.182.15  morph [25/Nov/2005:19:33:10 +0100] "SYST" 215 &b
84.131.182.15  morph [25/Nov/2005:19:33:10 +0100] "FEAT" 211 &b
84.131.182.15  morph [25/Nov/2005:19:33:10 +0100] "PWD" 257 &b
84.131.182.15  morph [25/Nov/2005:19:33:10 +0100] "TYPE A" 200 &b
84.131.182.15  morph [25/Nov/2005:19:33:10 +0100] "PASV" 227 &b
84.131.182.15  morph [25/Nov/2005:19:33:10 +0100] "LIST -al" 226 &b
84.131.182.15  morph [25/Nov/2005:19:33:15 +0100] "QUIT" 221 &b
84.131.182.15  nobody [25/Nov/2005:19:36:33 +0100] "USER michael" 331 &b
84.131.182.15  nobody [25/Nov/2005:19:36:36 +0100] "PASS (hidden)" 530 &b

Meine proftpd_config funktioniert mit allen Benutzern bis auf den Benutzer michael.

Code: Select all

# Uncomment this if you would use quota module:
#Quotas                         on

# Uncomment this if you would use ratio module:
#Ratios                         on

# Port 21 is the standard FTP port.
Port                            21

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances                    30

# Set the user and group that the server normally runs at.
User                            nobody
Group                           nogroup

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask                           022  022
# Normally, we want files to be overwriteable.
AllowOverwrite                  on

# chroot für alle User der Gruppe ftpuser
DefaultRoot             ~ ftpuser

# Login nur von Mitgliedern der Gruppe ftpuser erlauben
<Limit LOGIN>
DenyGroup               !ftpuser
</Limit>

# Root-Login verbieten und gültige Shell verlangen (in /etc/shells)
<Global>
RootLogin               off
RequireValidShell       on
</Global>

# Speed erhöhen
UseReverseDNS           off
IdentLookups            off

# Loggin Formate
LogFormat               default "%h %1 %u %t "%r" %s &b"
LogFormat               auth "%v [%P] &h &t "%r" %s"
LogFormat               write "%h %1 %u %t "%r" %s %b"

# Logging aktivieren
ExtendedLog             /var/log/ftp_auth.log AUTH auth

# file/dir Zugriff
ExtendedLog             /var/log/ftp_access.log WRITE,READ write

# für paranoide (vorsicht, erzeugt grosse Logfiles)
Extendedlog             /var/log/ftp_paranoid.log ALL default

Wäre nett wenn jemand eine Idee hätte.

Gruß,

Homix

[aubergine]

Mit welchem Status Code wird der client vom Server refused?

[homix]

Code: Select all

84.131.182.15  nobody [25/Nov/2005:19:36:36 +0100] "PASS (hidden)" 530 &b 

Also mit 530 Login incorrect. Das PW habe ich allerdings x-mal überprüft, es funktioniert beim ssh-login auch.

Gruß,

Homix

[aubergine]

Existiert das Homedir des Users?

[homix]

Ja, und er kann auch via ssh darauf zugreifen.

Nachtrag:

Habe den Benutzer sogar bereits gelöscht und wieder angelegt - ohne Erfolg.

[primus]

ich hab ab und an das selbe problem. ein restart des inetd und des proftpd diestes hat bisher geholfen. auch ein reset des ssl certs (client und server) half schon. worans allerdings liegt würde mich auch interessieren.

[homix]

Einen Neustart des Daemons hab ich natürlich auch bereits mehrfach gemacht. Brachte allerdings auch keinen Erfolg.

Ist wirklich seltsam. Alle Benutzer, auch wenn sie neu angelegt werden, haben einwandfreien FTP-Zugang. Nur der User michael nicht. Einzige Besonderheit:

Der User michael war der erste Benutzer den ich auf dem Server angelegt habe (nach root versteht sich). Habe ihn auch schon mal mit anderer uid angelegt, kein Erfolg.

Gruß,

Homix

[timeless2]

Hast du vor dem Neuanlegen wirklich alles gelöscht, auch das Homedir und andere Einträge? Liegt das Homedir von michael im gleichen Unterverzeichnis wie die der anderen Nutzer?

Ist der User wirklich in der Gruppe ftpgroup?

Code: Select all

groups michael

gibt die Gruppenzugehörigkeiten aus.

[homix]

Hast du vor dem Neuanlegen wirklich alles gelöscht, auch das Homedir und andere Einträge?

Ja.

Liegt das Homedir von michael im gleichen Unterverzeichnis wie die der anderen Nutzer?

Ja, alle User haben ihr Homedir in /home/name_des_users

Ist der User wirklich in der Gruppe ftpgroup?

Code: Select all

groups michael

gibt die Gruppenzugehörigkeiten aus.

Ja.

Code: Select all

michael@debbi:~$ groups michael
michael : users ftpuser

Die Gruppenzugehörigkeit hatte ich als erstes geprügt. Das wäre leider zu einfach. :-D

Gruß,

Homix

[homix]

Habe jetzt auch noch mal folgendes probiert:

- Neuen Ordner /home/test angelegt, chown für user michael.
- In der /etc/passwd das HomeDir des Users michael auf /home/test geändert. In der Shell kann michael darauf zugreifen.

Problem besteht weiterhin, kein FTP-Login möglich. Scheint also nicht am Verzeichnis zu liegen.

Des Weiteren habe ich noch einmal das Passwort für michael geändert um hier einen evtl. Fehler auszuschließen, leider auch kein FTP-Login möglich. Scheint also auch nicht am Passwort zu liegen.

Gruß,

Homix

[lord_pinhead]

Nutzt die die /etc/ftpusers um benutzer vom FTP fernzuhalten? Was hat er für eine Shell, haben die anderen User eine Shell? Proftpd ist da eigentlich sehr einfach zu halten, ausser du sperrst den nutzer in der ftpusers.

[homix]

Eigentlich dachte ich die /etc/proftpd.conf würde den Zugang regeln. Dort wird, wie oben in meinem ersten Posting gezeigt, allen Usern der Zugang versperrt die nicht in der Gruppe ftpuser sind:

Code: Select all

# Login nur von Mitgliedern der Gruppe ftpuser erlauben 
<Limit LOGIN> 
DenyGroup               !ftpuser 
</Limit> 

Ein Blick auf /etc/ftpusers:

Code: Select all

debbi:/home/michael# cat /etc/ftpusers
# /etc/ftpusers: list of users disallowed FTP access. See ftpusers(5).

root
daemon
bin
sys
sync
games
man
lp
mail
news
uucp
nobody
michael

Da steht doch tatsächlich michael!

Hab ihn allerdings jetzt gelöscht, proftp neu gestartet (/etc/init.d/proftpd restart). Komme allerdings immer noch nicht mit User michael via ftp auf den Server.

Scheint aber die richtige Richtung zu sein, Lord_Pinhead.

Nachtrag:

Allen Usern wird die gleiche Shell zugewiesen: /bin/sh.

Gruß,

Homix

[homix]

Es funktioniert jetzt.

Habe wie gesagt den User michael aus /etc/ftpusers entfernt und den Daemon neu gestartet. Das half nichts.

Dann schaute ich nochmal auf die Group des Users: dort stand nun nur noch die Gruppe users, die Gruppe ftpuser war verschwunden (?).

Also noch einmal die Gruppen des Users modifiziert (usermod michael -G ftpuser) und schon klappts.

Komischerweise war er vor Entfernen aus /etc/ftpusers noch Mitglied der Gruppe ftpuser.

Danke allen Beteiligten.

Gruß,

Homix