Proftpd users

ups!..  \"faste\" skulle ha været \"faste ip\" :)

ja, det kan godt lade sig gøre...

kig lidt i dokumentationen på

http://www.proftpd.org

... eller beskriv dit problem lidt bedre - det er svært at regne ud, helt præcist, hvad du mener...

Det jeg ønsker at gøre er at lave individuelle instillinger pr. bruger...

Feks kan man lave en:
<Limit LOGIN>
  Order allow,deny
  allow 127.0.0.1
  denyall
</Limit>

Men den er global... Altså ALLE skal logge ind fra 127.0.0.1.... Hvis jeg nu ønsker at brugeren \"Bent\" kun må logge på fra 127.0.0.1 og \"Alice\" kun må logge på fra 192.168.0.10 osv osv....
Kan man lave det pr bruger på en eller anden måde??
eg.
<Limit LOGIN \"bent\">
(regler for bent)
</Limit>

<Limit LOGIN \"Alice\">
(regler for alice)
</Limit>

Har ikke kunnet finde det i dokumentation...

Mener du at visse brukere med faste ip adresser bare skal ha tilgang til ftp ? Hvis i så fall så er jo dette en standard firewall funksjon for eksemepel ip-chains. Hvis rett probelmstilling er det noen spesiell grunn til at du ikke ønsker å benytte firewall packet filtering funsksjon for dette ?? Bare en ide ..

Jeg må efter nærmere gennemlæsning af proftpd-dokumentationen konkludere, at jeg ikke umiddelbart kan se, at der findes en sådan funktion indbygget i proftpd.

En løsning kunne være den langbein foreslår med en firewall, der kun vil lade trafik på port 20 og 21 ske for bestemte brugere eller noget i den retning.

Jeg må dog indrømme, at jeg ikke kan se, hvorfor det skulle være nødvendigt at begrænse brugere til en bestemt ip. Sikkerhedsmæssigt er der ikke noget særligt at hente, da en eventuel hacker nemt vil kunne spoofe (lade som om han er) en af de tilladte adresser.

For mig at se, vil det kun forårsage besvær for dine brugere.

Når først du har givet en bruger et password, må man gå ud fra, at du mener at han er vædig til et sådant. At dette password kan sniffes eller på anden måde misbruges af andre, kan du ikke gøre noget ved, da det ligger i ftp\'s natur at sende brugernavne og passwords ukrypteret.

Jeg vil foreslå dig at kigge nærmere på ssh og secure copy (scp - en funktion i ssh til KRYPTERET at sende/modtage filer over netværk). Benyttes denne metode, vil det være sværere for en eventuel hacker at gøre noget som helst. Du vil stadig være åben for et \"man-in-the-middle\"-angreb, men disse angreb er svære at udføre og scp er nok det sikreste du får til dit formål.

>da en eventuel hacker nemt vil kunne spoofe
Jeg tror nu nok du overvuderer nemheden i ip-spoofing ;)... Man in the middle på en ssh forbindelse er noget lettere.. Ip-restriction er en ret stor sikkerhed, da det er ret svært at spoofe, især hvis routere og firewalls er sat korrekt op i netværket, og også på grund af de stadig (forholdsvis) uforudsiglige sekvens-numre og sidst men slet ikke mindst; man skal vide/gætte hvilken adresse man skal spoofe..

Men... Anyways... Det var egentlig ikke det som det hele gik ud på.. Det var ikke KUN et spørgsmål om ip-restriction, men mere et spørgsmål om at lave indiviulle konfigurationer pr. bruger.. Ip-restriction var bare et eksempel.. Tænkte også på chroot for nogle bestemte brugere osv...

Nå.. Pyt... Tak for jeres tid.. Jeg lukker bare spørgsmålet igen :)..

- Logix

-