Question à propos de vsftpd

Question à propos de vsftpd - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 04-01-2005 à 21:14:15    

Salut,  
 
J'ai Fedore Core 3 avec VSftpd d'installé et je me demandais s'il y avait moyen de faire comme avec wu-ftpd, pouvoir barrer des ip ou groupe d'ip exemple... deny * 100.13.145.52 ou allow user 22.23.24.215
Je sais qu'on peut accepter ou refuser les users à se connecter au ftp avec les fichiers: vsftpd.ftpuser et vsftpd.user_list. Mais jai pas vu quoi que se soit qui parlait de IP dans ses fichiers la.
 
Si quelqu'un aurait une solution sa serait vraiment pratique!!
 
Merci!  :bounce:

Reply

Marsh Posté le 04-01-2005 à 21:14:15   

Reply

Marsh Posté le 05-01-2005 à 01:48:53    

Tu peux utiliser les tcp wrappers afin de bloquer directement l'IP du mec, par contre il faut que ta version de vsftpd ait été compilé pour.
Pour le savoir y'a pas 36 soluces, t'essayes et si ca marche pas et bien c'est que l'option n'est pas activé. Pour activer l'option il faut editer le fichier builddefs.h dans les sources du soft et changer  
 
#undef VSF_BUILD_TCPWRAPPERS
 
par
 
#define VSF_BUILD_TCPWRAPPERS
 
ensuite tu compiles, puis tu ajoutes cette ligne dans ton fichier de conf de vsftpd (vsftpd.conf)
 
tcp_wrappers=YES
 
Ensuite met ca dans ton /etc/hosts.allow
 
vsftpd: 192.168.0.1: DENY
 
Bien sur remplace 192.168.0.1 par l'IP que tu veux bloquer.
 
Si tu veux appliquer des restrictions sur certaines IP ajoute cette ligne dans /etc/hosts.allow, c'est a dire que pour l'IP 192.168.0.2 vsftpd utilisera le ficher de conf etc/vsftpd_tcp_wrap.conf avant d'utiliser celui d'origine.
 
vsftpd: 192.168.0.2: setenv VSFTPD_LOAD_CONF /etc/vsftpd_tcp_wrap.conf
 
 
D'ailleurs a ce propos y'a personne chez qui ca merde vsftpd ?
Sur ma debian SID le programme merde royalement, il fait carrément n'importe quoi, style pas moyen d'arreter le service, truc dans ce genre :cry:


Message édité par sam fisher le 05-01-2005 à 01:49:56
Reply

Marsh Posté le 05-01-2005 à 15:40:29    


Sinon tu le lances via un inetd like (xinetd, tcpserver) qui lui va vérifier les ips avant d'appeler le programme.
 
Maintenant je sais pas si vsftpd peut être utilisé par un inetd  
:)

Reply

Marsh Posté le 05-01-2005 à 16:44:24    

sam fisher a écrit :


Ensuite met ca dans ton /etc/hosts.allow
 
vsftpd: 192.168.0.1: DENY
 
Bien sur remplace 192.168.0.1 par l'IP que tu veux bloquer.
 
Si tu veux appliquer des restrictions sur certaines IP ajoute cette ligne dans /etc/hosts.allow, c'est a dire que pour l'IP 192.168.0.2 vsftpd utilisera le ficher de conf etc/vsftpd_tcp_wrap.conf avant d'utiliser celui d'origine.


 
Merci!
J'ai essayé de bloquer un IP et sa fonctionne.
Mais la je voulais savoir s'il y avait une manière d'accepter une connection sur un user X pour un IP ou un range d'ip voulu.
Exemple: user allo allow if ip = 10.0.3.*  
ou comme avec wsftpd: allow user2 10.0.3.*
Et dans se fichier la je peux bloquer une classe d'ip?
Exemple: vsftpd: 200.*.*.*: DENY
 
Et j'ai pas compris ce que tu voulais dire quand tu parlais du fichier vsftpd_tcp_wrap.conf....sa permet de créer un fichier qui va juste faire les contrôles pour vsfptd....au lieu d'aller lire dans /etc/hosts.allow il va aller voir dans le fichier vsftpd.deny par exmeple?
 
Dernière question...est-ce qu'il y a moyen d'avoir plus de détail dans les logs...comme par exemple au lieu de "Wed Jan  5 10:47:24 2005 [pid 27038] CONNECT: Client "216.1.7.10" qu'il y aille plus d'information à savoir avec quel user la personne a essayé de se loguer, autrement dit avoir plus de détails?!?
 
Merci beaucoup pour ton aide.


Message édité par srv-_ le 05-01-2005 à 16:49:40
Reply

Marsh Posté le 05-01-2005 à 18:16:23    

srv-_ a écrit :

Merci!
J'ai essayé de bloquer un IP et sa fonctionne.
Mais la je voulais savoir s'il y avait une manière d'accepter une connection sur un user X pour un IP ou un range d'ip voulu.
Exemple: user allo allow if ip = 10.0.3.*  
ou comme avec wsftpd: allow user2 10.0.3.*
Et dans se fichier la je peux bloquer une classe d'ip?
Exemple: vsftpd: 200.*.*.*: DENY
 
Et j'ai pas compris ce que tu voulais dire quand tu parlais du fichier vsftpd_tcp_wrap.conf....sa permet de créer un fichier qui va juste faire les contrôles pour vsfptd....au lieu d'aller lire dans /etc/hosts.allow il va aller voir dans le fichier vsftpd.deny par exmeple?
 
Dernière question...est-ce qu'il y a moyen d'avoir plus de détail dans les logs...comme par exemple au lieu de "Wed Jan  5 10:47:24 2005 [pid 27038] CONNECT: Client "216.1.7.10" qu'il y aille plus d'information à savoir avec quel user la personne a essayé de se loguer, autrement dit avoir plus de détails?!?
 
Merci beaucoup pour ton aide.


 
 
Si tu veux juste autoriser un utilisateur, bloque plutôt toute connection au serveur a tout le monde et autorise juste l'utilisateur voulu.
 
Rajoute ce genre de ligne dans /etc/host.allow pour autoriser uniquement 192.168.0.1 (tu peux remplacer l'IP par le nom de la machine)
 
vsftpd: 192.168.0.1: ALLOW
vsftpd: ALL: DENY
 
Ensuite pour un groupe d'IP voulu ou un blocage par user je ne sais pas car je n'ai jamais testé, essaye de trouver de la doc sur les tcp wrappers sur google, si tu galères pour trouver tu peux essayer de faire des règles iptables afin de bloquer/autoriser l'acces par groupe d'IP, genre la ca bloque de 213.36.80.0 à 213.36.80.255
 
iptables -A INPUT -s 213.36.80.0/255.255.255.0 -j DROP
 
Le fichier vsftpd_tcp_wrap.conf te permet d'utiliser ce fichier avant le fichier vsftpd.conf original pour une adresse IP que tu as spécifié. Ca te permet de créer des profils de configuration par adresse IP.
 
Pour les log regarde plutôt dans /var/log/auth.log (ca doit etre le même fichier/emplacement sur une FC3 je pense)
 
less /var/log/auth.log | grep vsftpd


Message édité par sam fisher le 05-01-2005 à 18:17:06
Reply

Marsh Posté le 05-01-2005 à 19:58:28    

Ok donc il a pas moyen ( à ce que tu saches ) de faire des contrôles avec les users/IP.
Je vais chercher sur google avec tcp wrappers pour voir si je peux trouver une manière de faire ce qui était si simple avec wu-ftpd :(  
Et sa existe pas /var/log/auth.log
Merci!

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed