Anonymous

Zurueck Index Vor

Anonymous

Hier wird erlaubt, dasz sich auch Personen einloggen koennen, die keinen regulaeren Account auf dem Server haben. Zur Authentifizierung sind hier lediglich die Usernamen anonymous und ftp (per Default) von Noeten. Die Angabe eines Passwortes wird hier zwar in der Form einer gueltigen E-Mail-Adresse erwartet, allerdings ist diese nicht zwingend notwendig. Im Gegensatz zu wu_ftpd besitzt ProFTP keine Ueberpruefungs-Moeglichkeit des angegebenen Passwortes. D. h. es wird nicht unterschieden ob das Passwort "gueltig" ist oder nicht. Die Angabe von blafasel als Passwort wird genauso akzeptiert wie strcat@gmx.net oder keine Eingabe.
Der Vollstaendigkeit halber sei hier gesagt, dasz wu_ftpd in der Lage ist die Passwortangabe von Anonymous-Login`s nach folgenden Kriterien zu ueberpruefen:

 * none      #keine Ueberpruefung
 * trivial   #Das Passwort musz ein `@' enthalten
 * rfc822    #Das Passwort musz eine nach RFC822 gueltige Adresse sein

Der Anonymous-Server wird normalerweise nur genutzt, um frei zugaengliche Software fuer jedermann zugaenglich zu machen. Wenn man z. B. einen Mirror von ftp.kernel.org erstellt, macht es wenig Sinn diesen nur fuer bestimmte Personen zugaenglich zu machen.

Besonders bei Anonymous-Ftp sollte man sich Gedanken ueber die Sicherheitsvorkehrungen machen. Da man - wie schon gesagt - keinen Account braucht, ist es jedem gestattet sich einzuloggen. Hierbei kann man nicht ausschlieszen, dasz man Opfer von Exploit- und/oder (d)DoS-Attacken wird. Dies ist vorallem bei Anonymous-Ftp gefaehrlich, wo zusaetzlich noch die Moeglichkeit von Uploads gegeben ist. In solchen Faellen haben selbst anonyme User Schreibrechte in einem Verzeichnis und sind somit in der Lage den Server zu attackieren.
Wie man sich gegen solche Attacken und Angriffe schuetzten kann, kann man unter Sicherheit (und folgendes) nachlesen.

Das erlauben von Anonymous-Login`s ist denkbar einfach. Das folgende Beispiel erlaubt Anonymous-Zugang ohne Upload-Moeglichkeit:

# /home/ftp/ ist das Verzeichnis das dem User `anonymous' 
# oder `ftp' zur Verfuegung stehen soll
<Anonymous /home/ftp/>

# Der Login soll von allen Hosts aus moeglich sein
 <Limit LOGIN>
   AllowAll
 </Limit>

# Hier wird angegeben unter welchem User (bzw. welcher Gruppe) der 
# der Server laufen soll. Das die hier angegebenen User/Group schon
# existiert setze ich als Selbstverstaendlichkeit voraus.
  User                          ftp
  Group                         ftp

# Hier wird angegeben welcher Login-Name fuer anonyme User akzeptiert
# werden soll. Es empfiehlt sich dazu `anonymous' und `ftp' zu nehmen,
# da sich diese als Standard eingebuergert haben
  UserAlias                     anonymous ftp

# Hier wird dem User verboten schreibende Befehle verwenden zu koennen
# Darunter fallen u. a. das umbenennen, loeschen, erstellen, ...
  <Limit WRITE>
    DenyAll
  </Limit>
</Anonymous>

Dieser Abschnitt wird einfach in die /etc/proftpd.conf eingefuegt und schon hat man (nachdem man den Server neu gestartet
hat) die Moeglichkeit Anonymous-Logins zu erlauben.
Jetzt hat man auch noch die Moeglichkeit einen weiteren anonymen Zugang einzurichten. Ueber denn Sinn dieses Vorhabens laeszt sich zwar streiten, aber ich werde hier trotzdem darauf eingehen.
Zuerst musz/sollte man einen weiteren User erstellen (ich nenne ihn fuer dieses Beispiel `besucher'). Wenn das geschehen ist, fuegt man folgenden Abschnitt in die /etc/proftpd.conf hinzu:

# Hier wieder das Verzeichnis das dem User namens `besucher' zugewiesen
# werden soll
<Anonymous /home/ftp/besucher>

# Hier wird wieder angegeben unter welchem User (bzw. welcher Gruppe) der 
# der Server laufen soll. Das die hier angegebenen User/Group schon
# existiert setze ich als Selbstverstaendlichkeit voraus.
User besucher
Group besucher

# Hier werden ihm alle schreibenden Befehle verboten.
 <Directory *>
  <Limit WRITE>
    DenyAll
  </Limit>
 </Directory>
</Anonymous>

Wenn man das gemacht hat, kann man sich sowohl als `anonymous', `ftp', als auch als Benutzer `besucher' einloggen. Fuer die Authentifizierung reicht es hier wiederum, sich mit einem der angegebenen Usernamen einzuloggen. Eine Passwortueberpruefung findet nicht statt. Das Problem hierbei ist, dasz sich - als `anonymous' und `ftp' - eingeloggte Benutzer frei bewegen koennen.
Das heiszt sie koennen auch in uebergeordnete Verzeichnisse wechseln. Wie man dem entgegenwirken kann, wird hier erklaert.

Zurueck Index Vor