ftpd

N

NexAs

Member
So, schon wieder ich... ^^
Ich habe mir weiters einen FTP Server aufgesetzt mit ftpd....das klappt auch ganz brauchbar.
Da der FTP aber nun so komplett öffentlich ist und auch auf Port 21 auf einer offiziellen Domain läuft und das auch so sein soll, wollte ich jeden User der sich 5x falsch anmeldet seine IP Adresse sperren.
Nun für SSH hab ich das schon per Skript gemacht, obwohl ich es nicht brauche da der Port nicht öffentlich zugängig. Da ging das mittels der authlog die fehlgeschlagene Loginversuche speichert mit IP Adresse...diese per Skript travesieren und mittels pfctl -t abuse -T add IP reinknallen...
Problem ist fehlgeschlagene Loginversuche von FTP werden dort nicht erfasst. Auch in der login.conf scheint hier wenig Hilfe zur Verfügung zu stellen. Auch google scheint nicht sonderlich viel zu diesem Thema zu wissen....

Irgendwie weigere ich mich zu glauben, dass das so schwer ist, immerhin kann das jedes 0815 FTP Serverprogramm in Windoof, da muss das der ftpd doch schon lang können oder?

Danke
lg
J.
 
NexAs schrieb:
So, schon wieder ich... ^^
Da der FTP aber nun so komplett öffentlich ist und auch auf Port 21 auf einer offiziellen Domain läuft und das auch so sein soll, wollte ich jeden User der sich 5x falsch anmeldet seine IP Adresse sperren.
Nun für SSH hab ich das schon per Skript gemacht, obwohl ich es nicht brauche da der Port nicht öffentlich zugängig. Da ging das mittels der authlog die fehlgeschlagene Loginversuche speichert mit IP Adresse...diese per Skript travesieren und mittels pfctl -t abuse -T add IP reinknallen...
Problem ist fehlgeschlagene Loginversuche von FTP werden dort nicht erfasst.
Zum Vergrößern anklicken....

Du solltest /var/log/auth.log dafür parsen können.

Rob
 
NexAs schrieb:
So, schon wieder ich... ^^
Ich habe mir weiters einen FTP Server aufgesetzt mit ftpd....das klappt auch ganz brauchbar.
Da der FTP aber nun so komplett öffentlich ist und auch auf Port 21 auf einer offiziellen Domain läuft und das auch so sein soll, wollte ich jeden User der sich 5x falsch anmeldet seine IP Adresse sperren.
Zum Vergrößern anklicken....

*Sehr* schlechte Idee, da Nutzer so ihre Authentisierungsdaten im Klartext durchs Internet schicken müssen. Benutze lieber sftp, wenn du eh schon einen SSH-Server am Laufen hast.
 
NexAs schrieb:
...
Da der FTP aber nun so komplett öffentlich ist und auch auf Port 21 auf einer offiziellen Domain läuft und das auch so sein soll, wollte ich jeden User der sich 5x falsch anmeldet seine IP Adresse sperren.
...
Zum Vergrößern anklicken....

Wenn Du die Zugangsdaten im Klartext rübärjagst brauchst Du User die sich 5 mal falsch anmelden ned sprerren, da ja jeder User die Daten im Klartext abgreift und somit gleich beim ersten Mal die richtigen hat :)

-> SFTP wenn scho nehmen !

Gruß Bummibaer
 
Wenn deine User dich zu FTP zwingen, dann nimm wenigstens FTP+SSL mit SSL für Command und Datachannel. Das ganze wird dadurch erschwert, das mit verschlüsseltem Commandchannel keine FTP Proxies mehr funktionieren. NAPT kannst du damit vergessen.
 
Also erstmal danke für die zahlreichen Antworten...

Ich weiß wie man das mit sFTP macht, das war jedoch nicht die Frage...
Genauso gut kann ich hergehen die Ports zur lahmen Windoof Kiste durchleiten und irgendein Free FTP Serverprogramm wie Filezilla verwenden und dort ist das Standard drinnen und das kostet mich 20min und wir sparen uns die Diskussion...

Danke trotzdem,
Sollte ich eine befriedigenden Lösung finden ohne ein anderes OS dafür zu verwenden, werde ich es hier posten.

Danke für die Ideen
lg
Johannes
 
@juedan:
Danke das ist wirklich nett.
Habs mir mal angesehen. Da könnte ich auch gleich den FTP über SSH laufen lassen, das wäre vermutlich sogar noch einfacher.
Ich denke ich bin einfach frustriert, dass das super sicher OpenBSD offensichtlich keine solche Option für den inegrierten FTP Server vorgesehen hat. Ich kann das System auf alle denkbaren Methoden dicht machen, aber genau diese Option gibts nicht.
Ohne das hier breit treten zu wollen sag ich einfach dass keine grossen Sicheitsanforderungen an den Server bestehen. Ich wollte lediglich verhindern dass irgendein lustiger Skriptkidi da sein Glück versucht und mich mit Anfragen zumüllt.

Egal es bleibt beim FTP und die Option bleibt vorerst draussen, ich versuche stattdessen das ganze über PF zu regeln. Sollte ich da irgendwelche brauchbaren Erfolge in absehbarer Zeit verbuchen können, werde ich sie hier posten...
Ich habe leider auch nicht die Lust und die Zeit Tage damit zu verbringen herauszufinden warum OpenBSD das nicht kann.

Wenn ich das Thema schließen könnte, würde ich das tun.
Danke vielmals an alle für die Tipps
lg
Johannes
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben