Ubuntu-fr

zn415

vsftpd et droit d'ecriture chmod

Bonjour, je traffique depuis un moment a configurer vsftpd sur ma ubuntu server.

J'ai reussi a creer differents utilisateurs virtuels mais j'ai des problemes de droits.

Etant pour le moment un debutant en ce qui concerne les droits je me permet de demander de l'aide.

Voici le probleme que je rencontre:

Lorsuq eje me connecte avec mon logiciel ftp client (dreamweaver) j'arrive a transferer des fichiers (je suis en mode ftp non securisé) mais je ne peux pas modifier le chmod, par default mes fichier on un chmod de 000.

Donc mes fichiers ne peuvent meme pas etre executé par apache.

Je n'utilise pas le meme repertoire que dans le tuto car j'utilise mon repertoire /var/www/site au lieu de /home/ftp/user

Pour essayer de resoudre le probleme j'ai essayé de modifier le proprietaire du repertoire /var/www/site1 en mettant l'utilisateur de vftpd "ftp" au lieu de root (sudo chown ftp:nogroup /var/www/site1) et en le mettant en chmod 777 (sudo chmod 0777 /var/www/site1).

Mais rien n'y fait

Est ce que vsftp doit etre lancé en faisant sudo etc/init.d/vsftp start ou uniquement etc/init.d/vsftp start ? Est ce que cela peut avoir un rapport avec mes problemes de droits?

atlante

Re : vsftpd et droit d'ecriture chmod

Salut,
tu as le masque de création des documents dans /etc/vsftpd.conf ligne 34. Attention, le masque est l'inverse des droits (complément à 7). Donc, si tes fichiers sont à 000, tu as du mettre 777 dans le fichier de vsftpd.
Met 022 et ça devrait aller.
N'oublie pas de relancer vsftpd

zn415

Re : vsftpd et droit d'ecriture chmod

Je viens de l'ajouter mais ça ne change rien, mes fichiers sont toujours transferés avec un chmod a 000 et impossible de le modifier.

Voici mon fichier de configuration general:

# Ceci configure vsFTPd en mode "standalone"
listen=YES

# On d�sactive les connexions anonymes
# et on active les non-anonymes(c'est le cas des utilisateurs virtuels):
anonymous_enable=NO
local_enable=YES

# Pour des raisons de s�curit� on interdit toute action d'�criture:
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO

# 'guest_enable' est tr�s important: cela active les utilisateurs virtuels!
# 'guest_username' fait correspondre tous les utilisateurs virtuels �
# l'utilisateur 'ftp' que nous avons d�fini plus haut, et au home
# correspondant: '/home/ftp/'.
guest_enable=YES
guest_username=ftp

# On veut que les utilisateurs virtuels restent chez eux: '/home/ftp/'
chroot_local_user=YES


# On d�fini le nombre maximum de sessions � 200(les nouveaux clients recevro# un message du genre: "erreur: serveur occup�").
# On d�fini le nombre maximum de sessions par IP � 4
max_clients=200
max_per_ip=4

####################################
# Debian customization             #
####################################
# Some of vsftpd's settings don't fit the Debian filesystem layout by
# default.  These settings are more Debian-friendly.
#
#
# This option should be the name of a directory which is empty.  Also, the
# directory should not be writable by the ftp user. This directory is used
# as a secure chroot() jail at times vsftpd does not require filesystem
# access.
secure_chroot_dir=/var/run/vsftpd
#
# This string is the name of the PAM service vsftpd will use.
pam_service_name=vsftpd
#
# This option specifies the location of the RSA certificate to use for SSL
# encrypted connections.
rsa_cert_file=/etc/ssl/certs/vsftpd.pem


## Activer la configuration per-user
user_config_dir=/etc/vsftpd/vsftpd_user_conf

#
# This option specifies the location of the RSA certificate to use for SSL
# encrypted connections.
rsa_cert_file=/etc/ssl/certs/vsftpd.pem


## Activer la configuration per-user
user_config_dir=/etc/vsftpd/vsftpd_user_conf


# Enregistrer les actions des utilisateurs
##xferlog_enable=YES
##xferlog_file=/var/log/vsftpd.log


local_umask=022

Et mon utilisateur:

## l'utilisateur est enferm� dans un dossier d�termin�
local_root=/var/www/pdf2img.net/

## droit de lecture seulement(download)
anon_world_readable_only=NO

## droit d'�criture(upload)
write_enable=YES
anon_upload_enable=YES

## cr�er des dossiers
anon_mkdir_write_enable=YES

## droit de renommer, supprimer...
anon_other_write_enable=YES

## droit de chmod
chmod_enable=YES

atlante

Re : vsftpd et droit d'ecriture chmod

# Pour des raisons de s�curit� on interdit toute action d'�criture:
write_enable=NO
anon_upload_enable=NO
anon_mkdir_write_enable=NO
anon_other_write_enable=NO

Déjà, tu interdits l'écriture (write_enable=NO) pour tout le monde...

anonymous_enable=NO

## droit d'�criture(upload)
write_enable=YES
anon_upload_enable=YES

## cr�er des dossiers
anon_mkdir_write_enable=YES

Ensuite, d'un côté tu inderdits les annonymes, de l'autre tu les autorise...
Inutile de créer un fichier de conf pour les utilisateurs si le fichier de conf général est bien paramétré.

Tu l'as pris où; le tuto sur vsftpd ?

Pourquoi créer des utilisateurs virtuel ? Tu ne vas pas être le seul à uploader sur ta machine ? Si tu as un compte sur le servuer, inutile de créer des utilisateurs virtuels, ton compte peut servir directement.

Explique moi plus en détail ce que tu veux faire.

zn415

Re : vsftpd et droit d'ecriture chmod

Merci je vais tester.

Les utilisateurs ne sont pas des utilisateurs anonymes d'après ce que j'ai lu, il passent par l'intermédiaire de l'utilisateur ftp qui est est bien réel donc il semblait ne pas être nécessaire d'activer les utilisateurs anonyme.

J'arrive tout de même à écrire même si write_enable = NO.

Bizarre!

Je vais essayer en utilisant tes conseils.

Mon projet:

En fait je voudrais plus tard ajouter des utilisateurs ftp a partir de php. Je sais qu'il existe d'autres programmes qui sont couplés à mysql pour gérer les utilisateurs mais je n'ai pas réussi a faire fonctionner correctement. vsftpd semble plus fiable que proftpd...

atlante

Re : vsftpd et droit d'ecriture chmod

vsftpd semble plus fiable que proftpd

Entièrement d'accord

En fait je voudrais plus tard ajouter des utilisateurs ftp a partir de php

Là, je ne pourrais absolument pas t'aider, c'est pas mon domaine.

En utilisant les utilisateurs du système, c'est extrèmement simple. Il suffit de les chrooter en activant l'option adéquate du fichier de configuration.
Je te donne le mien pour info. Comme dit dans le fichier lui même, il ne donne pas toutes les options de configuration possibles.

# Example config file /etc/vsftpd.conf
#
# The default compiled in settings are fairly paranoid. This sample file
# loosens things up a bit, to make the ftp daemon more usable.
# Please see vsftpd.conf.5 for all compiled in defaults.
#
# READ THIS: This example file is NOT an exhaustive list of vsftpd options.
# Please read the vsftpd.conf.5 manual page to get a full idea of vsftpd's
# capabilities.
#
#
# Run standalone?  vsftpd can run either from an inetd or as a standalone
# daemon started from an initscript.
listen=YES
#
# Run standalone with IPv6?
# Like the listen parameter, except vsftpd will listen on an IPv6 socket
# instead of an IPv4 one. This parameter and the listen parameter are mutually
# exclusive.
#listen_ipv6=YES
#
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
#anonymous_enable=YES
anonymous_enable=NO
#
# Uncomment this to allow local users to log in.
local_enable=YES
#
# Uncomment this to enable any form of FTP write command.
write_enable=YES
#
# Default umask for local users is 077. You may wish to change this to 022,
# if your users expect that (022 is used by most other ftpd's)
local_umask=022
#
# Uncomment this to allow the anonymous FTP user to upload files. This only
# has an effect if the above global write enable is activated. Also, you will
# obviously need to create a directory writable by the FTP user.
#anon_upload_enable=YES
#
# Uncomment this if you want the anonymous FTP user to be able to create
# new directories.
#anon_mkdir_write_enable=YES
#
# Activate directory messages - messages given to remote users when they
# go into a certain directory.
dirmessage_enable=YES
#
# Activate logging of uploads/downloads.
xferlog_enable=YES
#
# Make sure PORT transfer connections originate from port 20 (ftp-data).
connect_from_port_20=YES
#
# If you want, you can arrange for uploaded anonymous files to be owned by
# a different user. Note! Using "root" for uploaded files is not
# recommended!
#chown_uploads=YES
#chown_username=whoever
#
# You may override where the log file goes if you like. The default is shown
# below.
#xferlog_file=/var/log/vsftpd.log
#
# If you want, you can have your log file in standard ftpd xferlog format
#xferlog_std_format=YES
#
# You may change the default value for timing out an idle session.
#idle_session_timeout=600
#
# You may change the default value for timing out a data connection.
#data_connection_timeout=120
#
# It is recommended that you define on your system a unique user which the
# ftp server can use as a totally isolated and unprivileged user.
#nopriv_user=ftpsecure
#
# Enable this and the server will recognise asynchronous ABOR requests. Not
# recommended for security (the code is non-trivial). Not enabling it,
# however, may confuse older FTP clients.
#async_abor_enable=YES
#
# By default the server will pretend to allow ASCII mode but in fact ignore
# the request. Turn on the below options to have the server actually do ASCII
# mangling on files when in ASCII mode.
# Beware that on some FTP servers, ASCII support allows a denial of service
# attack (DoS) via the command "SIZE /big/file" in ASCII mode. vsftpd
# predicted this attack and has always been safe, reporting the size of the
# raw file.
# ASCII mangling is a horrible feature of the protocol.
#ascii_upload_enable=YES
#ascii_download_enable=YES
#
# You may fully customise the login banner string:
#ftpd_banner=Welcome to blah FTP service.
#
# You may specify a file of disallowed anonymous e-mail addresses. Apparently
# useful for combatting certain DoS attacks.
#deny_email_enable=YES
# (default follows)
#banned_email_file=/etc/vsftpd.banned_emails
#
# You may restrict local users to their home directories.  See the FAQ for
# the possible risks in this before using chroot_local_user or
# chroot_list_enable below.
chroot_local_user=YES
#
# You may specify an explicit list of local users to chroot() to their home
# directory. If chroot_local_user is YES, then this list becomes a list of
# users to NOT chroot().
chroot_list_enable=YES
# (default follows)
chroot_list_file=/etc/vsftpd.chroot_list
#
# You may activate the "-R" option to the builtin ls. This is disabled by
# default to avoid remote users being able to cause excessive I/O on large
# sites. However, some broken FTP clients such as "ncftp" and "mirror" assume
# the presence of the "-R" option, so there is a strong case for enabling it.
#ls_recurse_enable=YES
#
#
# Debian customization
#
# Some of vsftpd's settings don't fit the Debian filesystem layout by
# default.  These settings are more Debian-friendly.
#
# This option should be the name of a directory which is empty.  Also, the
# directory should not be writable by the ftp user. This directory is used
# as a secure chroot() jail at times vsftpd does not require filesystem
# access.
secure_chroot_dir=/var/run/vsftpd
#
# This string is the name of the PAM service vsftpd will use.
pam_service_name=vsftpd
#
# This option specifies the location of the RSA certificate to use for SSL
# encrypted connections.
rsa_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
# This option specifies the location of the RSA key to use for SSL
# encrypted connections.
rsa_private_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

zn415

Re : vsftpd et droit d'ecriture chmod

Je viens de tester ce que tu m'as indiqué mais c'est pas logique:

J'ai

local_umask=022 dans mon fichier et pourtant lorsque je le transfere sur mon serveur il possede les droits 600 alors qu'il devrait etre en 644 d'apres le tuto.

http://doc.ubuntu-fr.org/vsftp

Je suppose qu'il y a un truc qui échappe a la configuration.

Lorsque je met local_umask=002 mes mon fichier possède de nouveau les droits 000, alors qu'il devrait etre 755.

Est ce que l'user ftp est crée automatiquement lorsque qu'on installe vsftpd, ne faudrait t'il pas le créer?

atlante

Re : vsftpd et droit d'ecriture chmod

Donne moi le résultat de (sur le serveur)
cat /etc/passwd|grep ftp
ls -ail /var/www/
ls -ail /var/www/site

zn415

Re : vsftpd et droit d'ecriture chmod

Voila ce que ça donne:

sudo cat /etc/passwd|grep ftp

donne

ftp:x:107:65534::/home/ftp:/bin/false

sudo ls -ail /var/www/pdf2img

donne:

8831001 drwxrwx---  2 ftp  nogroup   4096 2008-07-20 18:38 pdf2img.net

sudo ls -ail /var/www/pdf2img.net

donne:

8831001 drwxrwx--- 2 ftp  nogroup 4096 2008-07-20 18:38 .
8823652 drwxr-xr-x 4 root root    4096 2008-07-19 01:38 ..
8831004 -rw------- 1 ftp  nogroup  252 2008-07-20 18:38 index.php

Uggy

Re : vsftpd et droit d'ecriture chmod

8831004 -rw------- 1 ftp  nogroup  252 2008-07-20 18:38 index.php

file_open_mode
    The permissions with which uploaded files are created. Umasks are applied on top of this value. You may wish to change to 0777 if you want uploaded files to be executable.

    Default: 0666

zn415

Re : vsftpd et droit d'ecriture chmod

Je viens d'ajouter cette ligne comme suggéré:

file_open_mode=0777

Lorsque  je transfere un fichier il obtient les droits suivant:

8831004 -rwx------ 1 ftp  nogroup  252 2008-07-20 23:22 index.php

Donc ça progresse mon fichier est maintenant executable par le proprietaire (chmod 0700) mais y a encore un truc qui cloche.

Je n'arrive pas a modifier les droits depuis mon logiciel ftp.

local_umask=002 permet d'obtenir un fichier en 664 d'apres le tuto, en ajoutant la ligne file_open_mode=0777 j'obtiens un fichier en 0700.

J'ai du mal. Comment faire pour que mon logiciel ftp ait le droit de modifier les droits du fichier? Pour l'instant apache n'as pas le droit de l'executer et ça donne une erreur.(You don't have permission to access / on this server.)

zn415

Re : vsftpd et droit d'ecriture chmod

Je viens d'essayer de modifier le proprietaire du repertoire pdf2img.net en mettant www-data

Mon fichier index.php est maintenant executé par apache mais lorsque je transfere le fichier mon utilisateur avec lequel je me connecte n'as plus aucun droit dessus.

atlante

Re : vsftpd et droit d'ecriture chmod

Non, la solution n'est pas de modifier le propriétaire. Il faut d'ailleurs éviter de donner trop à apache; en cas de corruption de celui ci les dégâts seront alors limités.

Le fonctionnement à obtenir est celui ci:
tu uploade un fichier.
Il obtient les droits 644.
Il est lisible par n'importe qui (donc forcément par apache)
Il t'appartient et tu en fais ce que tu veux

Ce qui m'embête dans ton histoire, c'est les droits qui ne correspondent à rien.
Essaye de supprimer les fichiers correspondant aux utilisateurs virtuels et de relancer vsftpd.
Au fait, tu le relance bien après chaque modification?

zn415

Re : vsftpd et droit d'ecriture chmod

Oui je fait ceci pour redémarrer

sudo /etc/indit.d/vsftpd reload

et

sudo /etc/init.d/vsftpd restart

je viens de voir qu'il existe un repertoire utilisé par defaut qui se trouve dans /home/ftp/ et il appartient a root

Est ce que je ne devrais pas faire de même avec mon repertoire /var/www/pdf2img.net/ ?

Si je supprime mes fichiers utilisateurs virtuels sa changera quoi?

zn415

Re : vsftpd et droit d'ecriture chmod

C'est bon ça marche.:D

En fait le tuto proposé est incomplet.

zn415

Re : vsftpd et droit d'ecriture chmod

Et maintenant ça marche plus

J'ai flingué apache mais je sais pas comment.

J'ai ceci:

Internal Server Error 500

J'ai mis un fichier .haccess  et patatra.

le log apache indique ceci (error.log)

[Mon Jul 21 16:05:16 2008] [alert] [client 192.168.1.12] /var/www/pdf2img.net/.htaccess: Invalid command 'RewriteEngine', pe$

Comment cela est t'il possible alors que j'ai supprimé tout les fichiers dont le .haccess ?

zn415

Re : vsftpd et droit d'ecriture chmod

Et ça remarche de nouveau avec un:

sudo a2enmod rewrite

puis

sudo  /etc/init.d/apache2 force-reload

zn415

Re : vsftpd et droit d'ecriture chmod

Merci de votre aide!

furth

Re : vsftpd et droit d'ecriture chmod

Salut,

J'ai le même problème que toi avec la même configuration (celle du tuto)
Dès que j'upload un fichier il se met automatiquement en chmod 600

J'ai réussi a le passer à 700 avec votre manipulation du file_open_mode=0777 et du local_umask=002 mais bon ça ne me suffit pas il me faudrait du 755 au moins !!

zn415 tu dis que ça marche pour toi, tu t'y es pris comment ??

furth

Re : vsftpd et droit d'ecriture chmod

J'ai trouvé pourquoi ça déconne :

L'upload marche avec un autre partage que j'ai sur le ftp, les droits sont a 777 quand je met un fichier dessus et cela automatiquement !!

Sur l'autre partage il reste a 700 avec votre manipulation !!

regardé la différence entre ces 2 lignes :

432 -rwxrwxrwx 1 root root      0 2008-08-29 13:51 naruto2.txt
4472927 -rwx------ 1 ftp  nogroup    0 2008-08-29 13:52 naruto2.txt

Voila en root root ca passe nikel, en ftp nogroup ca bloque !!

furth

Re : vsftpd et droit d'ecriture chmod

le souci est donc de savoir comment faire pour que lorsque qu'on upload un fichier, celui ci se mette directement en root !!

furth

Re : vsftpd et droit d'ecriture chmod

Même en root root ca passe pas, c'est un mystère, est-ce qu'il y en a un qui peut le venir en aide ??