Как устроить сендбокс для ftp сервера

Обсуждение технических вопросов по продуктам Novell

Как устроить сендбокс для ftp сервера

Сообщение rat » 04 ноя 2004, 20:51

Имеется родной новеловский ftp сервер на netware 6.5
Хочется выпустить его на ружу в более менее секурном виде.
В данный момент ftp клиент может шарится по томам и папкам расположенным выше указанной в качестве дефолтной папки.
Это лечится какими нибудь пасами с бубном? Или только использованием другого ftp сервера?
rat
 
Сообщения: 5
Зарегистрирован: 04 ноя 2004, 20:46

ftp- шный клиент анонимный?

Сообщение Андрей Старков » 05 ноя 2004, 08:09

Пользователь anonymous в дереве создан? Ему даны конкретные права на конкретные папки? И он может шариться вне их? Не верю!
Создайте папку например FTPROOT а в ней incoming и pub
anonymous'у на FTPROOT ни каких прав, на pub чтение на incoming писать и вытирать. и все!
у вас скорее всего на какие то общие папки на томе права всем розданы через права объекта контейнера OU соответственно anonymous имеет все эти права если он в том же контексте.
Андрей Старков
 
Сообщения: 473
Зарегистрирован: 21 июн 2002, 13:57
Откуда: г. Ноябрьск, ЯНАО

Сообщение Мещеряков Андрей » 05 ноя 2004, 09:10

В правилах данного юЗверя можно добавить (restrict.txt) параметр NOREMOTE - что бы отучить менять текущий сервер... Соединение будет еще секурнее, если :
из всего населения дерева разрешать заходить на ftp только ему;
лицом сервер в Инет все же не выставлять, а засвечивать через акселератор бордюра (еще и сэкономите на адресах в ДМЗ).
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

Сообщение rat » 05 ноя 2004, 12:29

И всётаки непонятно. Клиент не анонимный. Права на файловой системе вручную давались только на папку ftproot. Права на просмотр и чтение остальных томов и части папок на них видимо создаются по дефолту вместе с пльзователем в дереве. Как это пофиксить? Только по подробней плиз я недавно netware занялся. Моя епархия freebsd.
rat
 
Сообщения: 5
Зарегистрирован: 04 ноя 2004, 20:46

Сообщение Vladimir Kozak » 05 ноя 2004, 13:15

rat писал(а):И всётаки непонятно. Клиент не анонимный.


Как выше подсказывали :

ftprest.txt

*.tree ACCESS= NOREMOTE
Аватара пользователя
Vladimir Kozak
 
Сообщения: 762
Зарегистрирован: 30 янв 2003, 15:13

Сообщение Сергей aka m0p3e » 05 ноя 2004, 14:06

Вот только он может браузить по всем папкам на которые есть права у public-а...
Аватара пользователя
Сергей aka m0p3e
 
Сообщения: 159
Зарегистрирован: 05 июн 2002, 11:32
Откуда: Москва

Сообщение PavelKHTW » 05 ноя 2004, 14:10

rat писал(а):И всётаки непонятно. Клиент не анонимный. Права на файловой системе вручную давались только на папку ftproot. Права на просмотр и чтение остальных томов и части папок на них видимо создаются по дефолту вместе с пльзователем в дереве. Как это пофиксить? Только по подробней плиз я недавно netware занялся. Моя епархия freebsd.

- по дефолту права в NW не раздаються, разве что на папку public - ну так отберите это право.
- а по поводу подробнее - книжку можно купить, меньше $10 стоит - там все подробно расписано.
PavelKHTW
 
Сообщения: 1037
Зарегистрирован: 08 окт 2003, 13:02
Откуда: Украина

Сообщение Андрей Старков » 05 ноя 2004, 14:29

>*.tree ACCESS= NOREMOTE
просто не даст просматривать другие сервера, а у человека клиент видит на том же сервере еще что то кроме ftproot

или в nwadmin'e или ConsoleOne для этого пользователя посмотрите Sequrity Equal To необходимо чтобы он не входил ни в одну группу, это можно посмотреть и через Group Membership но в эквивалентности еще и другие вещи видны.
Посмотрите, чтобы родительские контейнеры этого пользователя не имели прав на файловую систему. Ну и как было выше сказано Public
Андрей Старков
 
Сообщения: 473
Зарегистрирован: 21 июн 2002, 13:57
Откуда: г. Ноябрьск, ЯНАО

Сообщение rat » 05 ноя 2004, 15:08

Посылать к чтению доков это конечно правильно, но ....
Доки изучены.
И так вернёмся к нашим баранам. Клиент ftp сервера шарится именно на том сервере где находится ftproot. Так что *.tree ACCESS= NOREMOTE проблему не решает. Пользователь не входит ни в какие группы и нет никаких еквивалентов по правам. Дано право только просматривать ftproot. В consoleone в закладке опекуны объекта значатся - root, public и он сам. Удаление опекунов никчему не приводит
rat
 
Сообщения: 5
Зарегистрирован: 04 ноя 2004, 20:46

Re: Как устроить сендбокс для ftp сервера

Сообщение Владимир Горяев » 05 ноя 2004, 15:16

rat писал(а):В данный момент ftp клиент может шарится по томам и папкам расположенным выше указанной в качестве дефолтной папки.
Это лечится какими нибудь пасами с бубном? Или только использованием другого ftp сервера?
В проводнике кликни по ним и посмотри еффективные права и наследуемые прва и фильтры, отбери права если есть у пользователя ftp и объекта public
Бардак автоматизировать невозможно!!!
_________________
Аватара пользователя
Владимир Горяев
 
Сообщения: 3473
Зарегистрирован: 05 июн 2002, 13:37
Откуда: Смоленск

Сообщение Сергей Дубров » 05 ноя 2004, 18:15

rat писал(а):Посылать к чтению доков это конечно правильно, но ....
Доки изучены.
И так вернёмся к нашим баранам. Клиент ftp сервера шарится именно на том сервере где находится ftproot. Так что *.tree ACCESS= NOREMOTE проблему не решает. Пользователь не входит ни в какие группы и нет никаких еквивалентов по правам.

Доки вы-таки плохо изучили. Секурити эквиваленты по правам есть у ЛЮБОГО leaf объекта - это те контейнерные объекты, которые вместе с именем образуют ПОЛНОЕ имя. Т.е., если у вас есть пользователь с полным именем User.OU1.OU2.O, то он эквивалентен по правам с OU1.OU2.O, OU2.O и O. Какие права даны вышестоящим контейнерным объектам, то те же права по секурити эквиваленс имеет и ваш User.OU1.OU2.O. И это НЕ фильтруется, by design. Зафильтровать/переопределить можно то, НА ЧТО даны права, но НЕ ТОГО, КОМУ эти права назначены.

Так что ищите, откуда вашему юзеру права "протекли", от какого из вышестоящих OU/O.

rat писал(а):Дано право только просматривать ftproot. В consoleone в закладке опекуны объекта значатся - root, public и он сам. Удаление опекунов никчему не приводит

А это (удаление опекунов) тут совершенно не при чём.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Всем огромное спасибо господа.

Сообщение rat » 08 ноя 2004, 14:56

Самый мудрый и нформативный был последний ответ. Заэто вам большой сенкс. Если чего нужно подет по юниксовой части - обращайтесь
rat
 
Сообщения: 5
Зарегистрирован: 04 ноя 2004, 20:46

А если нужно так ?

Сообщение Lab » 12 янв 2005, 17:46

Можно ли сделать так, чтобы пользователь подключаясь к FTP видел только свою домашнюю папку в виде корневой папки ? В теории ? На практике не получается...

Папка по умолчанию, где бы она не была, правами подключается как корневая; нужно так же сделать и для домашней папки, но не поучается.... Виден полный путь к домашней папке TOM\DIR1\DIR2\.. ..\HOME

Это баг или фича ? )))

NW6 SP5
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Lab » 13 янв 2005, 11:15

Up..
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва

Сообщение Lab » 13 янв 2005, 19:45

Это баг или фича ? )))


... оказалось это незнание возможностей :)

Andy Thompson (SysOp) wrote
> Set their access=guest in your ftprest file.

Осталось попробавать, будет ли работать, если Home dir на другом сервере....
Lab
 
Сообщения: 196
Зарегистрирован: 08 дек 2003, 13:57
Откуда: Москва


Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 65