proNovell

Имеется родной новеловский ftp сервер на netware 6.5
Хочется выпустить его на ружу в более менее секурном виде.
В данный момент ftp клиент может шарится по томам и папкам расположенным выше указанной в качестве дефолтной папки.
Это лечится какими нибудь пасами с бубном? Или только использованием другого ftp сервера?

Пользователь anonymous в дереве создан? Ему даны конкретные права на конкретные папки? И он может шариться вне их? Не верю!
Создайте папку например FTPROOT а в ней incoming и pub
anonymous'у на FTPROOT ни каких прав, на pub чтение на incoming писать и вытирать. и все!
у вас скорее всего на какие то общие папки на томе права всем розданы через права объекта контейнера OU соответственно anonymous имеет все эти права если он в том же контексте.

В правилах данного юЗверя можно добавить (restrict.txt) параметр NOREMOTE - что бы отучить менять текущий сервер... Соединение будет еще секурнее, если :
из всего населения дерева разрешать заходить на ftp только ему;
лицом сервер в Инет все же не выставлять, а засвечивать через акселератор бордюра (еще и сэкономите на адресах в ДМЗ).

И всётаки непонятно. Клиент не анонимный. Права на файловой системе вручную давались только на папку ftproot. Права на просмотр и чтение остальных томов и части папок на них видимо создаются по дефолту вместе с пльзователем в дереве. Как это пофиксить? Только по подробней плиз я недавно netware занялся. Моя епархия freebsd.

rat писал(а):И всётаки непонятно. Клиент не анонимный.

Как выше подсказывали :

ftprest.txt

*.tree ACCESS= NOREMOTE

Вот только он может браузить по всем папкам на которые есть права у public-а...

rat писал(а):И всётаки непонятно. Клиент не анонимный. Права на файловой системе вручную давались только на папку ftproot. Права на просмотр и чтение остальных томов и части папок на них видимо создаются по дефолту вместе с пльзователем в дереве. Как это пофиксить? Только по подробней плиз я недавно netware занялся. Моя епархия freebsd.

- по дефолту права в NW не раздаються, разве что на папку public - ну так отберите это право.
- а по поводу подробнее - книжку можно купить, меньше $10 стоит - там все подробно расписано.

>*.tree ACCESS= NOREMOTE
просто не даст просматривать другие сервера, а у человека клиент видит на том же сервере еще что то кроме ftproot

или в nwadmin'e или ConsoleOne для этого пользователя посмотрите Sequrity Equal To необходимо чтобы он не входил ни в одну группу, это можно посмотреть и через Group Membership но в эквивалентности еще и другие вещи видны.
Посмотрите, чтобы родительские контейнеры этого пользователя не имели прав на файловую систему. Ну и как было выше сказано Public

Посылать к чтению доков это конечно правильно, но ....
Доки изучены.
И так вернёмся к нашим баранам. Клиент ftp сервера шарится именно на том сервере где находится ftproot. Так что *.tree ACCESS= NOREMOTE проблему не решает. Пользователь не входит ни в какие группы и нет никаких еквивалентов по правам. Дано право только просматривать ftproot. В consoleone в закладке опекуны объекта значатся - root, public и он сам. Удаление опекунов никчему не приводит

rat писал(а):В данный момент ftp клиент может шарится по томам и папкам расположенным выше указанной в качестве дефолтной папки.
Это лечится какими нибудь пасами с бубном? Или только использованием другого ftp сервера?

В проводнике кликни по ним и посмотри еффективные права и наследуемые прва и фильтры, отбери права если есть у пользователя ftp и объекта public

rat писал(а):Посылать к чтению доков это конечно правильно, но ....
Доки изучены.
И так вернёмся к нашим баранам. Клиент ftp сервера шарится именно на том сервере где находится ftproot. Так что *.tree ACCESS= NOREMOTE проблему не решает. Пользователь не входит ни в какие группы и нет никаких еквивалентов по правам.

Доки вы-таки плохо изучили. Секурити эквиваленты по правам есть у ЛЮБОГО leaf объекта - это те контейнерные объекты, которые вместе с именем образуют ПОЛНОЕ имя. Т.е., если у вас есть пользователь с полным именем User.OU1.OU2.O, то он эквивалентен по правам с OU1.OU2.O, OU2.O и O. Какие права даны вышестоящим контейнерным объектам, то те же права по секурити эквиваленс имеет и ваш User.OU1.OU2.O. И это НЕ фильтруется, by design. Зафильтровать/переопределить можно то, НА ЧТО даны права, но НЕ ТОГО, КОМУ эти права назначены.

Так что ищите, откуда вашему юзеру права "протекли", от какого из вышестоящих OU/O.

rat писал(а):Дано право только просматривать ftproot. В consoleone в закладке опекуны объекта значатся - root, public и он сам. Удаление опекунов никчему не приводит

А это (удаление опекунов) тут совершенно не при чём.

Самый мудрый и нформативный был последний ответ. Заэто вам большой сенкс. Если чего нужно подет по юниксовой части - обращайтесь

Можно ли сделать так, чтобы пользователь подключаясь к FTP видел только свою домашнюю папку в виде корневой папки ? В теории ? На практике не получается...

Папка по умолчанию, где бы она не была, правами подключается как корневая; нужно так же сделать и для домашней папки, но не поучается.... Виден полный путь к домашней папке TOM\DIR1\DIR2\.. ..\HOME

Это баг или фича ? )))

NW6 SP5

Up..

Это баг или фича ? )))

... оказалось это незнание возможностей

Andy Thompson (SysOp) wrote
> Set their access=guest in your ftprest file.

Осталось попробавать, будет ли работать, если Home dir на другом сервере....