Tiger Server: usuarios sin permisos lo ven TODO por FTP

[emegezeta]

En un Mac OSX Server (10.4.9) tengo creados varios usuarios para que accedan a los Sharepoints creados en este servidor. Si los usuarios (no administradores) acceden por Apple File Protocol o desde Windows todo funciona correctamente: sólo ven y pueden acceder a los Sharepoints en cuestión. PERO si acceden al servidor por FTP acceden al servidor ENTERO, incluida la carpeta System y demás. Que yo recuerde, antes esto no era así; si un usuario entraba por FTP veía lo mismo y con los mismos permisos que si accedía por AFP, SMB o desde un PC por el entorno de red habitual. ¿Qué ha pasado? ¿Qué hago mal? ¿Qué....

[admin]

En un Mac OSX Server (10.4.9) tengo creados varios usuarios para que accedan a los Sharepoints creados en este servidor. Si los usuarios (no administradores) acceden por Apple File Protocol o desde Windows todo funciona correctamente: sólo ven y pueden acceder a los Sharepoints en cuestión. PERO si acceden al servidor por FTP acceden al servidor ENTERO, incluida la carpeta System y demás. Que yo recuerde, antes esto no era así; si un usuario entraba por FTP veía lo mismo y con los mismos permisos que si accedía por AFP, SMB o desde un PC por el entorno de red habitual. ¿Qué ha pasado? ¿Qué hago mal? ¿Qué....

¿Qué tienes puesto en

Server Admin FTP Settings -- Advanced?

Sobre todo, ¿Qué directorio tienes configurado como FTPRoot?

¿Utilizas y tienes configuradas las ACLs?

[emegezeta]

En "Advanced" tengo: Home with Sharepoints
(tambíen he probado con Home Directory Only" y con "FTProot and Share Points")

La ruta del FTProot es la que creo que viene por defecto: /Library/FTPServer/FTProot

Los únicos cuatro Sharepoints compartidos están todos en un disco LaCie RAID externo. Los permisos en los cuatro Sharepoints compartidos son sólo para el usuario Administrador (read and write), el grupo "admin" (read and write) y "none" para "others". Tengo los ACLs activados para dar además acceso a estos Sharepoints a ciertos usuarios.
Si estos usuarios (no administradores) acceden por Apple File Protocol o desde Windows todo funciona correctamente: sólo ven y pueden acceder a los Sharepoints correspondientes en cuestión. Pero si acceden al servidor por FTP todos acceden al servidor entero.

[emegezeta]

En la página:
http://www.macos-x-server.com/wiki/index...filesystem
hay algo sobre el tema, pero en vez de respuestas me plantea más preguntas....

[emegezeta]

...y aquí:

http://macosx.com/forums/mac-os-x-server...p-ftp.html

otro usuario se queja de lo mismo:


"Setting the FTP Server was also a problem.
First of all, I would like each user authorized to see only the directories for which he has read or write privileges, but I cannot figure out how to do this. Every user sees all directories on my FTP Server."

[emegezeta]

Uyuyuy!!!!! Al parecer el tema es bastante feo:

http://discussions.apple.com/thread.jspa...16#4461816




Re: FTP Security Disaster
Posted: Apr 25, 2007 5:51 AM in response to: webjedi Well, after I tested this, I can tell you what happened.

The 2007-004 Security Update replaced the ftp.plist in /System/Library/LaunchDaemons from Mac OS X server with the version from Mac OS X *Client*. There is no check in the installer if the update installs on client or Server, and it is the same update for both.

But, of course, FTP services on client and server are *very* different. With the client ftp.plist from client on the server, it is ftpd which is launched, not xftpd.

The solution is to replace the ftp.plist with a previous version from Mac OS X Server

[emegezeta]

La "solución" o más bien el parche está aquí (funcionar, funciona. Lo he probado)






Re: FTP Security Disaster
Posted: Apr 25, 2007 5:51 AM in response to: webjedi
Reply Email

Well, after I tested this, I can tell you what happened.

The 2007-004 Security Update replaced the ftp.plist in /System/Library/LaunchDaemons from Mac OS X server with the version from Mac OS X *Client*. There is no check in the installer if the update installs on client or Server, and it is the same update for both.

But, of course, FTP services on client and server are *very* different. With the client ftp.plist from client on the server, it is ftpd which is launched, not xftpd.

The solution is to replace the ftp.plist with a previous version from Mac OS X Server. If you don't have it, here is its content :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>Label</key>
<string>com.apple.xftpd</string>
<key>Program</key>
<string>/usr/libexec/xftpd</string>
<key>ProgramArguments</key>
<array>
<string>xftpd</string>
<string>-a</string>
</array>
<key>Sockets</key>
<dict>
<key>Listeners</key>
<dict>
<key>SockPassive</key>
<true/>
<key>SockServiceName</key>
<string>ftp</string>
<key>SockType</key>
<string>SOCK_STREAM</string>
</dict>
</dict>
<key>inetdCompatibility</key>
<dict>
<key>Wait</key>
<false/>
</dict>
</dict>
</plist>

Restart the server (relaunching the FTP service is not enough), and you should be up and running.

[admin]

Yo nunca activo el FTP nativo de Mac , ni de linux, ni de freebsd.

En su lugar empleo otras soluciones más seguras como ProFTPd

El FTP nativo es un colador, no sólo por lo comentado en el caso de Mac Os X server de este hilo sino por más razones.

[emegezeta]

Si, pero en este caso no se trata de un simple "agujero de seguridad" a través del cual alguien con más o menos maña y esfuerzo consigue entrar en un sistema. Se trata de una grave y doble negligencia por parte de Apple. Primero por el monumental despiste que permite a CUALQUIERA -no un hábil hacker o cracker- colarse por las buenas en las mismísimas tripas del sistema del servidor; segundo por la tardanza en corregir el problema. Los comentarios y soluciones están extraidos del foro de usuarios de Apple. A Steve se le ha ido la cabeza con el juguetito del iPhone y no está en lo que tiene que estar. Los ordenadores que uso empiezan a oler a Ubuntu que no veas. No mañana ni pasado, pero a este paso...

[admin]

Si, pero en este caso no se trata de un simple "agujero de seguridad" a través del cual alguien con más o menos maña y esfuerzo consigue entrar en un sistema. Se trata de una grave y doble negligencia por parte de Apple. Primero por el monumental despiste que permite a CUALQUIERA -no un hábil hacker o cracker- colarse por las buenas en las mismísimas tripas del sistema del servidor; segundo por la tardanza en corregir el problema. Los comentarios y soluciones están extraidos del foro de usuarios de Apple. A Steve se le ha ido la cabeza con el juguetito del iPhone y no está en lo que tiene que estar. Los ordenadores que uso empiezan a oler a Ubuntu que no veas. No mañana ni pasado, pero a este paso...

Yo hace bastante tiempo que no uso Mac Os X server. Pienso que es un sistema que aún ha de madurar y crea más problemas que satisfacciones. Lo he repetido en estos y otros foros.

Mi opción es freebsd cuya estabilidad como servidor es legendaria. Sin duda mejor que Linux.

Tan es así que desde que está Parallels en el mercado, estoy instalando freebsd dentro de los Xserve de forma que Mac OS X server actúa sólo como "nave nodriza" de servidores virtuales freebsd.