SOLVED FTP Server Rechtevergabe

[SleepWalker86]

Hallo zusammen, ich arbeite mit der aktuellen Version 11.3.
Ich habe den FTP Dienst aktiviert und konfiguriert.
Wenn ich mich mit einem User der Rechte für seine Freigaben hat setzte und dieser User in der Gruppe Wheel ist, bekomme ich alle Systemordner von Freenas angezeigt.

Ich habe schon mal die Option chroot aktiviert bzw. deaktiviert. jedoch ändert sich nichts.

Weiss jemand was ich falsch mache? Auch das entfernen aus der Gruppe Wheel ändert nichts. Jeder bekommt alle System Ordner und Dateien angezeigt die zu freenas gehören.

Vielen Dank

Gruß Sascha

 

[micneu]

also, du hast alles nach der anleitung aus der FreeNAS doku gemacht?
zeig doch mal bitte die config als bild
und im forum hast du schon gesucht und nichts gefunden?

 

[SleepWalker86]

Hallo,
ja ich habe mich an die Doku gehalten, kann auch im Nachgang keine Abweichung finden.
So sieht meine Config aus und die Ansicht nach dem FTP login:

Im Forum habe ich gesucht jedoch nichts passendes gefunden.
Hast du eine Idee was ich falsch gemacht habe?
Danke

Gruß Sascha

 

[Fredda]

Eigentlich sieht bei Deinen Einstellungen alles richtig aus.
Wie lautet das HOME Verzeichnis für Deinen User? Ist das korrekt konfiguriert? Existiert das HOME Verzeichnis?
Gib bitte mal auf der shell den Befehl getent passwd <user> ein.

 

[SleepWalker86]

Der User hatte kein Home Verzeichnis, Nun habe ich eins angegeben. Jetzt landet der User beim anmelden auch wie gewünscht nicht mehr im "/" sondern in dem entsprechendem Home Verzeichnis. Ich kann jedoch einfach nach oben Navigieren und sehe wieder alle Systemordner.

In den FTP Einstellungen "Always chroot" passiert trotz anhaken keine Änderung.

getent passwd:

externftp:$6$AW18D79I1OoOPp7L$by1.NHkASbh55NwfmjCQ8lsTndhXWUx6Ijzs5NF9V5f.Wa4PD870hanHQEAM8zjZV0NCPev/qmtXm44Eu10cL.:1004:1000:extern_ftp:/mnt/Daten03:/bin/csh

 

[Fredda]

Ist der Benutzer in der Gruppe wheel? Diese ist vom chroot ausgenommen. Das ist so gewollt (von FreeNAS).

 

[SleepWalker86]

Egal ob in der Gruppe oder nicht macht kein Unterschied, das navigieren in die Systemverzeichnisse ist immer möglich.

 

[Fredda]

Kann ich bei mir nicht nachvollziehen:

Code:

230-Welcome to FreeNAS FTP Server
230 User xxx logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> pwd
257 "/" is the current directory
ftp>

Wenn ich den user in die Gruppe wheel packe, dann wird beim pwd Befehl das Home Verzeichnis angezeigt.
Also alles genau so wie erwartet.

Nur nochmal ganz blöd nachgefragt. Du benutzt schon das FTP-Protokoll von Deinem Client aus? Nicht SFTP?
Letzteres hat mit FTP eigentlich nix zu tun und heisst nur so ähnlich, ist aber im endeffekt eigentlich ein SSH Zugriff.

 

[SleepWalker86]

Okay dann haben wir zumindest das schon eingegrenzt. Ja ich nutze SFTP Ich vermute das das verhalten dann völlig normal ist?

 

[SleepWalker86]

Alles klar, Wenn ich FTP nutze klappt es wie erwartet. Vielen Dank für den Tip

 

[Fredda]

Ja, das war dann zu erwarten, wie gesagt, SFTP ist ein Subsystem des SSH-Daemons und hat mit dem FTP Dienst rein garnichts zu tun.
Du hast also die ganze Zeit an der falschen Stelle gesucht.

 

[Patrick M. Hausen]

Um es vollkommen verwirrend zu machen, gibt es dann auch noch FTPS - FTP mit TLS. Das ist aber vollkommen krank, weil NATs und Firewalls nicht mehr in den Datenstrom der Control-Verbindung gucken können, das Protokoll aber immer noch die dynamisch ausgewürfelten Ports von FTP für die Daten-Verbindung benutzt, und dann im Zweifelsfall gar nichts mehr funktioniert.

Deshalb ist es auch praktisch bedeutungslos.

Man kann übrigens auch SFTP mit chroot machen. Ich bin ziemlich sicher, dass man das über die Auxiliary Parameter des SSH-Service auch in FreeNAS hinkriegt. Bei Interesse schreib ich mal was dazu ...

 

[SleepWalker86]

Um es vollkommen verwirrend zu machen, gibt es dann auch noch FTPS - FTP mit TLS. Das ist aber vollkommen krank, weil NATs und Firewalls nicht mehr in den Datenstrom der Control-Verbindung gucken können, das Protokoll aber immer noch die dynamisch ausgewürfelten Ports von FTP für die Daten-Verbindung benutzt, und dann im Zweifelsfall gar nichts mehr funktioniert.

Deshalb ist es auch praktisch bedeutungslos.

Man kann übrigens auch SFTP mit chroot machen. Ich bin ziemlich sicher, dass man das über die Auxiliary Parameter des SSH-Service auch in FreeNAS hinkriegt. Bei Interesse schreib ich mal was dazu ...

Vielen Dank für die Tipps,
ich verzweifle jedoch gerade an einem anderen Problem, Ich habe eine Webseite bei 1und1. Hier habe ich auch zugriff über SSH bzw SFTP.
nun möchte ich gerne einmal am Tag Daten von dort auf meinen Freenas Server zuhause laden. Dies soll als Backup einer Nextcloud dienen.
Hat jemand hierzu eine Idee?

Mit einem SFTP Script habe ich es nicht hinbekommen da es an der Passworteingabe scheitert.

Gibt es andere Möglichkeiten?

 

[Fredda]

Mit einem SFTP Script habe ich es nicht hinbekommen da es an der Passworteingabe scheitert.
Gibt es andere Möglichkeiten?

ssh-keys verwenden.

 

[Patrick M. Hausen]

ssh-keys verwenden.

Genau - kannst Du bei 1&1 keinen Key hinterlegen? Und wenn SSH mit Key funktioniert, hast Du gute Chancen, dass 1&1 auch ein rsync auf dem System hat und Du das verwenden kannst. Dafür gibt's dann auch Tasks in der Oberfläche des FreeNAS.

 

[SleepWalker86]

Leider nein zumindest finde ich dort keine Möglichkeit den Key hinterlegen zu können. Das geht wohl nur bei Server Lösungen von denen.
Ja rsync würde ich gerne nutzen aber ich vermute das wird nichts.

Den Key müsste ich ja irgendwo im Portal hinterlegen, eine Datei auf dem Server genügt nicht oder?

 

[Patrick M. Hausen]

Wenn Du Dich interaktiv per SSH anmelden kannst, kannst Du in der Regel auch einen Key hinterlegen.

Code:

# 1. Public-Key-Datei auf den Server kopieren
# 2. Dann auf dem Server:
mkdir -p .ssh
mv mykey.pub .ssh/authorized_keys
chmod 700 .ssh

 

[Fredda]

Und ob der Server das unterstützt, ist auch relativ leicht rauszubekommen.
Einfach mal verbose einloggen: ssh -v user@server
Und nach dieser Zeile suchen: debug1: Authentications that can continue: publickey,password
In diesem Beispiel kannst Du Dich mit Passwort oder mit ssh-key einloggen.

 

[SleepWalker86]

Das hier ist meine Ausgabe:

debug1: Reading configuration data /Users/smo/.ssh/config


debug1: Reading configuration data /etc/ssh/ssh_config


debug1: /etc/ssh/ssh_config line 47: Applying options for *


debug1: Connecting to access825544196.webspace-data.io port 22.


debug1: Connection established.


debug1: identity file /Users/smo/.ssh/id_rsa type -1


debug1: identity file /Users/smo/.ssh/id_rsa-cert type -1


debug1: identity file /Users/smo/.ssh/id_dsa type -1


debug1: identity file /Users/smo/.ssh/id_dsa-cert type -1


debug1: identity file /Users/smo/.ssh/id_ecdsa type -1


debug1: identity file /Users/smo/.ssh/id_ecdsa-cert type -1


debug1: identity file /Users/smo/.ssh/id_ed25519 type -1


debug1: identity file /Users/smo/.ssh/id_ed25519-cert type -1


debug1: identity file /Users/smo/.ssh/id_xmss type -1


debug1: identity file /Users/smo/.ssh/id_xmss-cert type -1


debug1: Local version string SSH-2.0-OpenSSH_8.1


debug1: Remote protocol version 2.0, remote software version OpenSSH_6.7p1 Debian-5+deb8u8~ui80+1


debug1: match: OpenSSH_6.7p1 Debian-5+deb8u8~ui80+1 pat OpenSSH* compat 0x04000000


debug1: Authenticating to access825544196.webspace-data.io:22 as 'u100735789'


debug1: SSH2_MSG_KEXINIT sent


debug1: SSH2_MSG_KEXINIT received


debug1: kex: algorithm: curve25519-sha256@libssh.org


debug1: kex: host key algorithm: ecdsa-sha2-nistp256


debug1: kex: server->client cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none


debug1: kex: client->server cipher: chacha20-poly1305@openssh.com MAC: <implicit> compression: none


debug1: expecting SSH2_MSG_KEX_ECDH_REPLY


debug1: Server host key: ecdsa-sha2-nistp256 SHA256:J

debug1: rekey out after 134217728 blocks


debug1: SSH2_MSG_NEWKEYS sent


debug1: expecting SSH2_MSG_NEWKEYS


debug1: SSH2_MSG_NEWKEYS received


debug1: rekey in after 134217728 blocks

Ich habe jetzt mit:

ssh-keygen -b 4096

einen Key uf dem Freenas erstellt. Die Datei mykey.pub auf den Webspace geladen und folgendes ausgeführt:

mkdir -p .ssh
mv mykey.pub .ssh/authorized_keys
chmod 700 .ssh

Wie kann ich jetzt die Verbindung mit dem Key öffnen?

 

[Patrick M. Hausen]

ssh -i /pfad/zum/privatekey user@host