1

Тема: Proftpd, не могу конектиться

Стоит у меня CenOS. установил фтпи (proftpd), скинул туда старый конфиг, который на фре работал на ура, запускаю, а он мне выдает:

[root@XXXX]#ftp 127.0.01
Connected to 127.0.0.1.
220 ::ffff:127.0.0.1 FTP server ready
500 AUTH not understood
500 AUTH not understood
KERBEROS_V4 rejected as an authentication type
Name (127.0.0.1:root): ftp
331 Anonymous login ok, send your complete email address as your password
Password:FTP
530-Unable to set anonymous privileges.
530 Login incorrect.
Login failed.
Remote system type is UNIX.
Using binary mode to transfer files.


конфиг меня уже много раз, он самый простой, стандартный.
Че делать не знаю, перерыл весь инет.

2

Re: Proftpd, не могу конектиться

Ставим стандартный конфиг, и создаем нового системного пользователя, и смотрим, пускает ли в хоумдир или нет

3

Re: Proftpd, не могу конектиться

Так, поставил стандартный конфиг, открыл там анонимного пользователя, он заходит (к себе в /var/ftp), все нормально.
а вот вновь созданные пользователи не заходят, пишит ошибку, ту что я писал выше....

4

Re: Proftpd, не могу конектиться

marz пишет:

KERBEROS_V4 rejected as an authentication type

попробуйте поменять

5

Re: Proftpd, не могу конектиться

оба конфига в студию

6

Re: Proftpd, не могу конектиться

Я понимаю что проблема в KERBEROS_V4 rejected as an authentication type
Только не знаю что это и как поменять sad

а вот конфиг:
# This is the ProFTPD configuration file
# $Id: proftpd.conf,v 1.1 2004/02/26 17:54:30 thias Exp $

ServerName                      "ProFTPD server"
ServerIdent                     on "FTP Server ready."
ServerAdmin                     root@localhost
ServerType                      standalone
#ServerType                     inetd
DefaultServer                   on
AccessGrantMsg                  "User %u logged in."
#DisplayConnect                 /etc/ftpissue
#DisplayLogin                   /etc/ftpmotd
#DisplayGoAway                  /etc/ftpgoaway
DeferWelcome                    off

# Use this to excude users from the chroot
DefaultRoot                     ~ !adm

# Use pam to authenticate (default) and be authoritative
AuthPAMConfig                   proftpd
AuthOrder                       mod_auth_pam.c* mod_auth_unix.c

# Do not perform ident nor DNS lookups (hangs when the port is filtered)
IdentLookups                    off
UseReverseDNS                   off

# Port 21 is the standard FTP port.
Port                            21

# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask                           022

# Default to show dot files in directory listings
ListOptions                     "-a"

# See Configuration.html for these (here are the default values)
#MultilineRFC2228               off
#RootLogin                      off
#LoginPasswordPrompt            on
#MaxLoginAttempts               3
#MaxClientsPerHost              none
#AllowForeignAddress            off     # For FXP

# Allow to resume not only the downloads but the uploads too
AllowRetrieveRestart            on
AllowStoreRestart               on

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances                    20

# Set the user and group that the server normally runs at.
User                            nobody
Group                           nobody

# Disable sendfile by default since it breaks displaying the download speeds in
# ftptop and ftpwho
UseSendfile                     no

# This is where we want to put the pid file
ScoreboardFile                  /var/run/proftpd.score

# Normally, we want users to do a few things.
<Global>
AllowOverwrite                yes
  <Limit ALL SITE_CHMOD>
    AllowAll
  </Limit>
</Global>

# Define the log formats
LogFormat                       default "%h %l %u %t \"%r\" %s %b"
LogFormat                       auth    "%v [%P] %h %t \"%r\" %s"

# TLS
# Explained at http://www.castaglia.org/proftpd/modules/mod_tls.html
#TLSEngine                      on
#TLSRequired                    on
#TLSRSACertificateFile          /etc/pki/tls/certs/proftpd.pem
#TLSRSACertificateKeyFile       /etc/pki/tls/certs/proftpd.pem
#TLSCipherSuite                 ALL:!ADH:!DES
#TLSOptions                     NoCertRequest
#TLSVerifyClient                off
##TLSRenegotiate                ctrl 3600 data 512000 required off timeout 300
#TLSLog                         /var/log/proftpd/tls.log

# SQL authentication Dynamic Shared Object (DSO) loading
# See README.DSO and howto/DSO.html for more details.
#<IfModule mod_dso.c>
#   LoadModule mod_sql.c
#   LoadModule mod_sql_mysql.c
#   LoadModule mod_sql_postgres.c
#</IfModule>

# A basic anonymous configuration, with an upload directory.
<Anonymous ~ftp>
  User                          ftp
  Group                         ftp
#  AccessGrantMsg               "Anonymous login ok, restrictions apply."
#
#  # We want clients to be able to login with "anonymous" as well as "ftp"
  UserAlias                     anonymous ftp
#
#  # Limit the maximum number of anonymous logins
  MaxClients                    10 "Sorry, max %m users -- try again later"
#
#  # Put the user into /pub right after login
#  #DefaultChdir                        /pub
#
#  # We want 'welcome.msg' displayed at login, '.message' displayed in
#  # each newly chdired directory and tell users to read README* files.
  DisplayLogin                  /welcome.msg
  DisplayFirstChdir             .message
#  DisplayReadme                        README*
#
#  # Some more cosmetic and not vital stuff
#  DirFakeUser                  on ftp
#  DirFakeGroup                 on ftp
#
#  # Limit WRITE everywhere in the anonymous chroot
  <Limit WRITE SITE_CHMOD>
    DenyAll
  </Limit>
#
#  # An upload directory that allows storing files but not retrieving
#  # or creating directories.
  <Directory uploads/*>
    AllowOverwrite              no
    <Limit READ>
      DenyAll
    </Limit>

    <Limit STOR>
      AllowAll
    </Limit>
</Directory>
#
#  # Don't write anonymous accesses to the system wtmp file (good idea!)
#  WtmpLog                      off
#
#  # Logging for the anonymous transfers
#  ExtendedLog          /var/log/proftpd/access.log WRITE,READ default
#  ExtendedLog          /var/log/proftpd/auth.log AUTH auth
#
</Anonymous>


Вот такой забочик.
А вы просили оба конфига, а какой второй?

7

Re: Proftpd, не могу конектиться

попробуйте закоментировать

marz пишет:

AuthPAMConfig                   proftpd
AuthOrder                       mod_auth_pam.c* mod_auth_unix.c

8

Re: Proftpd, не могу конектиться

неа не помогло, все тоже самое.
А должны пользователи видеть свои хоумдиры при таком конфиге???

9

Re: Proftpd, не могу конектиться

И че это за KERBEROS такой?

10

Re: Proftpd, не могу конектиться

Вот такой забочик.
А вы просили оба конфига, а какой второй?

А второй который рабочий... (стандартный если я не ошибаюсь)

раскоментируйте

#  ExtendedLog          /var/log/proftpd/auth.log AUTH auth

тока убедитесь что директория proftpd существует и имеет соответствующиме права для записи
логи еще было бы неплохзо показать. Тот что раскоментируете и /var/messages

11

Re: Proftpd, не могу конектиться

Стоп стоп мы запутались, сейчас у меня конфиг который я привел выше, им я уже и пытаюсь настраивать, а тот старый я забросил.

В /var/log/proftpd/auth.log пишит вот это:
ProFTPD server [8843] ::ffff:127.0.0.1 [21/Jan/2009:09:20:53 +0200] "PASS (hidden)" 530
А файл кому должен пренадлежать?

А в /var/messages вот что:
standalone mode STARTUP
FTP session opened.
audit(1232522453.714:24): avc:  denied  { search } for  pid=8843 comm="proftpd" scontext=root:system_r:ftpd_t:s0 tcontext=system_u:system_r:unconfined_t:s0-s0:c0.c1023 tclass=key

audit(1232522453.715:25): avc:  denied  { getattr } for  pid=8843 comm="proftpd" path="/home" dev=dm-0 ino=171933697 scontext=root:system_r:ftpd_t:s0 tcontext=system_u:object_r:home_root_t:s0 tclass=dir
marz: Directory /home/111/222/ is not accessible.
FTP session closed.

ЕЩЕ ВОТ ЧТО ПИШЕТ ТАМ ЖЕ
FTP session opened.
no such user 'sv/sync1C'

Я делаю сервак удаленно.
Мне кажеться вся проблема с авторизацыей, с pam.
Может какаято сволоч залезла, сервак день стоял без защиты sad
И главное дома у меня на компе все вышло, легче легкого, а тут на тебе.

Спасибо что помогаете smile

12

Re: Proftpd, не могу конектиться

Проблема в чем, в том что логин не проходит или сам proftpd не стартует?
Если ругается на керберос, есть идея посмотреть умолчание авторизации в настройках системы, и там скорее всего используется этот керберос.
Надо собирать proftpd с его поддержкой либо убирать PAMавторизацию.

# Use pam to authenticate (default) and be authoritative
AuthPAMConfig                   proftpd
# Virtual host foobar authenticates differently than the rest
AuthPAMConfig foobar
# This assumes, that you have a PAM service named foobar
# configured in your /etc/pam.conf file or /etc/pam.d directory. 

Что дает комманда

#cat /etc/pam.conf  | grep proftpd

13

Re: Proftpd, не могу конектиться

proftpd запускается.
Не проходит логин и пароль

[root@pervij proftpd]# ftp 127.0.0.1
Connected to 127.0.0.1.
220 FTP Server ready.
500 AUTH not understood
500 AUTH not understood
KERBEROS_V4 rejected as an authentication type
Name (127.0.0.1:root): marz
331 Password required for marz
Password:
530-Unable to set anonymous privileges.
530 Login incorrect.
Login failed.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>

Я так понял что действительно используется КЕРБЕРОС, а если я установил proftpd так: yum install proftpd, он с поддержкой кербероса или нет?
В /etc пишет что нет такого файла.

14

Re: Proftpd, не могу конектиться

Примерное мое представление:
Запускается авторизация по pam но она не найдена и не понятна самому proftpd.
500 AUTH not understood
500 AUTH not understood

после чего проба на системную аавторизацию, которая обрабатывается через керберос, но она не поддерживается в самом proftpd.

Либо надо настраивать PAM
man pam
либо пересобирать proftpd и самому компилировать из сырцов, с указанием модулей авторизации

15

Re: Proftpd, не могу конектиться

Понял, спасибочки.
Это у меня и было на примете, установка из сорсов smile обязательно попробую!!!

А если я установлю другой фтп тоже самое будет?
vsftp можете скинуть рабочий, я бы попробовал, если есть.

16

Re: Proftpd, не могу конектиться

Как я понимаю проблема какраз и есть в этом

AuthPAMConfig                   proftpd

что в конфиги пама? Если он вообще есть...

Палагаю что нестартует керберос сервер. что тут /etc/xinetd.d/ есть на эту тему (фтп, керберос).

И еще, вы говорили что с какимто конфигом работало... где этот конфиг?

17

Re: Proftpd, не могу конектиться

Вот конфиг /etc/pam.d/proftpd
#%PAM-1.0
auth       required     pam_listfile.so item=user sense=deny file=/etc/ftpusers onerr=succeed
auth       required     pam_stack.so service=system-auth
auth       required     pam_shells.so
account    required     pam_stack.so service=system-auth
session    required     pam_stack.so service=system-auth

В /etc/xinetd.d/ есть xproftpd  и krb5-telnet
А керберос должен быть запущен?

Про конфиг я говорил что рабочий был на фре у меня, я его уже не беру во внимание (тут тоже не катит), т.к. пробую со стандартным этим разобраться. Я же говорю точно также попробовал на своей тачке - работает, И керберос не запущен, им и не пахнет. А на серваке...

18

Re: Proftpd, не могу конектиться

Есть информация. Вчера дома поставил себе на выделеный раздел тотже CentOS что и на серваке. И что вы думаете?
Тоже пишит ошибки, те же, но при этом входит и ФТП работает. А на сервере......

19

Re: Proftpd, не могу конектиться

Компиляция из исходников возможно найдет проблему.

20

Re: Proftpd, не могу конектиться

А из какова репазитория интсалируете? у меня на сентосе все с пол оборота работает без ошибок...

# cat /etc/yum.repos.d/utterramblings.repo
[utterramblings]
name=Jason's Utter Ramblings Repo
baseurl=http://www.jasonlitka.com/media/EL$releasever/$basearch/
enabled=0
gpgcheck=1
gpgkey=http://www.jasonlitka.com/media/RPM-GPG-KEY-jlitka

# uname -a
Linux 2.6.18-028stab059.5 #1 SMP Fri Oct 24 17:50:54 MSD 2008 x86_64 x86_64 x86_64 GNU/Linux

21

Re: Proftpd, не могу конектиться

А я с ДАГА ставлю.

[dag]
name=Dag RPM Repository for Red Hat Enterprise Linux
baseurl=http://apt.sw.be/redhat/el$releasever/en/$basearch/dag/
gpgcheck=1
gpgkey=http://dag.wieers.com/packages/RPM-GPG-KEY.dag.txt
enabled=1
priority=2

#uname -a
Linux pervij.marzik 2.6.18-92.1.22.el5 #1 SMP Tue Dec 16 12:03:43 EST 2008 i686 i686 i386 GNU/Linux

Попробую с вашего влить, а потом с исходников если не выйдет. Еще отпишусь.

22

Re: Proftpd, не могу конектиться

Ура товарищи!!!
Заработало!
Всем виной SELinux! Он был включен. Я на всех поотключал его, а на серваке забыл.

Исправил этот файл /etc/selinux/config, сделал таким его:
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=disabled
# SELINUXTYPE= type of policy in use. Possible values are:
#       targeted - Only targeted network daemons are protected.
#       strict - Full SELinux protection.
SELINUXTYPE=targeted

# SETLOCALDEFS= Check local definition changes
#SETLOCALDEFS=0

Теперь все ок, но всеравно пишет про керберос. smile
Но главное что работает smile

СПАСИБО ВСЕМ ОГРОМНОЕ ЧТО МЕНЯ ЧИТАЛИ И ПОМОГАЛИ МНЕ, ИСКРЕННЕ БЛАГОДАРЕН!

P.S. и еще, не подскажите как там нахимичить с кодировками, когда с винды кидаю файл кракозябры лезут.

23

Re: Proftpd, не могу конектиться

ну и пускай будут краказябры... они тока в линуксе таковыми будут, винда по фтп их поймет номрально.

24

Re: Proftpd, не могу конектиться

ага понял, спасибо вам!