Samba und Ftp auf ein Verzeichnis

[Nordm4nn]

Hi,
ich bin beim Thema Linux relativ neu.
Ich habe einen Raspberry PI mit Raspian drauf.
Ich möchte den Pi gerne nun zusätzlich als Low budget NAS benutzen.
Jetzt habe ich dort Samba drauf und kann wunderbar über Windows drauf zugreifen etc.
Nun möchte ich gerne von extern ohne VPN auf genau meine freigegebenen Samba Verzeichnisse zugreifen.
Da kam mir die Idee ich lasse einfach auch noch nen FTP server drauflaufen. Also diesen Installiert und siehe da ich kann per FTP auf alle Sachen zugreifen per Chrome Firefox etc. sowie Filezilla und über den Windows Browser. Jetzt kommt aber leider mein Problem wenn ich wieder übers Netzwerk auf die Freigaben zugreifen will bekomme ich die Meldung das ich keine Berechtigung hätte an den Dateien was zu machen. Also wieder über Samba die Berechtigung erstellt und ich kann per Freigabe drauf zugreifen. Und jetzt geht der FTP nicht mehr sprich es geht immer nur eine Lösung. Beide haben den gleichen Benutzer und die gleichen Rechte. Wo dran kann es denn liegen das ich nicht einfach über beide Wege auf ein Verzeichnis komme und Schreib und Leserechte habe?

Gruß

€dit:
Wenns von Bedeutung ist, für ftp läuft "proftpd"

 

[PichlAlex]

Hi!

zu deiner Frage:
im FTP Home-Verzeichnis (/var/ftp, /usr/share/ftp/ - wo auch immer bei dir - siehe DefaultRoot-Eintrag in /etc/proftp/proftp.conf

zu deinem Vorhaben:
-) nicht auf Port 21 laufen lassen sondern irgendwas > 1024 (und nicht mit 21 am Ende!)
-) Fail2Ban einrichten
-) sehr langes Kennwort verwenden
-) generell überlegen ob nicht ein ssh/scp Server besser wäre! (mit den selben 3 Tipps) mit dem Nachteil dass du WinSCP oder vergleichbares für den Zugriff brauchst.

eine Standard-FTP Installation (vor allem über Port 21) ist nicht wirklich sicher und du wirst innerhalb weniger Minuten oder maximal Stunden Gäste auf einem NAS haben.

sg
Alex

 

[Nordm4nn]

Hi!
habe es jetzt hinbekommen einfach noch mal alle configs sauber durchgeschaut etc.
Habe ne Dynamische IP nen langen benutzernamen und ein 10 stelliges passwort. ist es wirklich so unsicher?
port kann ich ja auch problemlos auf nen ganz anderen legen bzw lasse auf der fritzbox nen anderen port auf den 21 forwarden

 

[PichlAlex]

Hi!

FTP ist generell nicht verschlüsselt und damit nicht allzu sicher.
ich kann dir nur raten per FTP generell einen read-only zugriff zu erlauben (mit Ausnahme vielleicht einen Upload-Ordner). Stell dir mal vor jemand hacked deinen FTP-Server (wie auch immer), hat schreibreche auf alles und hat böse absichten. Wenn du Glück hast löscht er dir alles, wenn du Pech hast überschreibt er dir Teile der Dateien mit Datenschrott.
zweiteres ist mir einmal passiert. Mein Port war auf 22845, kein Fail2Ban, Basisinstallation mit Proftp. Zum Glück wars nur ein Upload-Ordner wo nichts wichtiges oben war - aber stell dir mal das desaster vor wenn das deine Dokumente, Fotos, Filme usw gewesen wären...
Einen FTP Server (mit bekannten Schwachstellen) hacken passiert heutzutage absolut autoatisiert.
Klar, alles von extern erreichbar zu haben und als Client nur einen Browser zu brauchen ist komfortabel.... aber mindestens genauso unsicher - egal wie lang User und Passwort sind.

auf der Fritzbox den (externen) port zu ändern reicht absolut aus - wichtig ist nur dass der von extern erreichbare Port nicht 21 ist.

sg
Alex

 

[Hexenhammer]

Ist doch egal, ob der auf 21 oder 1032 läuft! Ein IP-Scanner wird mir schon mitteilen, welcher Dienst sich hinter welchem Port "versteckt" und bamm, nutze ich andere Tools bei böser Absicht, um mich davon zu überzeugen, was sich dahinter verbirgt oder ich den Platz gar selbst als NAS nutzen kann, was selbst den großen UNIS heute noch passiert! Unbemerkt, wohlgemerkt!

SFTP, um wenigstens ein bisserl "Sicherheit" zu haben, ansonsten mittels VPN, um den Schwierigkeitsgrad für Außenstehende ein wenig zu erhöhen, Stichwort NSA und andere Ersatztalibans dieser Welt. Private Daten ohne jegliches Mindestmaß an Sicherheit dermaßen zu veröffentlichen...dagegen sollte es Paragraphen geben. Aber, heute hat ja niemand mehr was zu "verstecken". Komisch nur, das jeder Depp seine Wohnungstür hinter sich in Schloß zieht und das Auto auf der Straße abschließt! Darum wurde wohl auch Inzucht einst verboten, hat sich nur scheinbar nicht ganz rumgesprochen;-(.

Anmerkung: Das "richtet" sich gegen niemanden sondern ist allgemein gehalten! Ich bin halt immer wieder fassungslos, wie weit wir angeblich intelligenten Wesen doch noch von einer sinnvollen Nutzung der uns offenbarten Möglichkeiten entfernt rumhausen wie einst unsere sogenannten Vorfahren mit den Mammutgruben!

 

[PichlAlex]

Zitat entfernt, siehe Forenregeln

gut getroffen und ganz meine Meinung :-)

wenn man die Dienste auf hohe Ports legt ist nur die Chance für einen IP-Scanner niedriger den Service zu finden da die meisten nur auf die Standardports gehen und ein abklappern aller Ports zu viel Zeit beansprucht.
Klar, NSA usw können aufgrund des abgreifens des gesamten Datenstroms auch selbst diese Ports herausfinden.

ich wollte nicht zu viel mitgeben sondern den für Nordm4nn gangbaren/umsetzbaren Mittelweg gehen.
Wie man einen externen FTP abzuschirmen (mit Schreibberechtigungen auf die gesamten Daten) sollte könnte man auch im Rahmen einer Doktorarbeit "kurz" zusammenschreiben, aber ich glaube das geht über das Ziel von Nordm4nn hinaus.

 

[Grugeschu]

Einfach den SFTP des SSHs nutzen und gegen Brute Force absichern wäre einfacher ...