проблема с загрузками в vsftpd

[lordmuzer]

система ubuntu 10.04.
есть настроенный сервер vsftpd.

ключевые моменты конфига:

Код: [Выделить]

anonymous_enable=NO
local_enable=YES
write_enable=YES
anon_upload_enable=YES
anon_mkdir_write_enable=YES
local_umask=022
chroot_local_user=YES
guest_enable=YES
guest_username=ftp
virtual_use_local_privs=YES
local_root=/var/ftp
получаю рабочий ftp, позволяет логинить, качать

суть проблемы:
закачивать файлы, создавать каталоги и тп могу только если зайти на ftp локально.
если зайти с удаленной машины, получаю 550 Access is denied. при любой операции на запись. причем в лог vsftp ничего не пишеться по этому поводу.

права на /var/ftp 777, owner ftp.

все что удалось понять, так это то что проблема не в vsftp или правах. потому как с локальной машины то все работает как надо. пробывал разные фтп клиенты.
больше похоже на проделки чего то типо selinux или (возможно) apparmor. первый вроде бы как не установлен. про второй непонятно.

куда смотреть и что делать ?)

[Tokh]

Про локальный коннект не могу откомметировать, но в общем смотреть можно

1) логи,
2) права доступа к каталогам и файлам, на излишнюю широту которых он реагирует,
3) в случае удалённой машины и NAT крутить настройки связанные с подстановкой адреса vsftp сервера в тело пакетов при установлении связи, прописать подстановку внешнего адреса NAT'ящего сервера,
4) открыть фаервол и посмотреть, т.к. при каких-то настройках он может использовать порты соседние с назначенным.

Нередко сложности где-то там.

man ufw может прояснить связь с apparmor и фаерволом. Но с чего бы это? Не замечал этой связи под Ubuntu, но накрутить конечно возможно...

[lordmuzer]

1. на какие логи смотреть ? в логах vsftpd ничего.
2. права на каталог 777. да и как права могу влиять, если локально все загружаеться, а удаленно только читать ?
3. не совсем понял куда крутить. опять же, с удаленной машини все, кроме закачки, работает
4. опять же куда поточнее смотреть ...

сам потратил не один день на чтение интернетов, похожие проблемы есть, но связаны с selinux, который в ubuntu 10.04 вроде бы как по умолчанию не становлен/не активен.

система стоит почти в дефоте, ничего по поводу фаервола, selinux, apparmor сам не менял. vsftpd тоже почти в дефолт.

прошу помощи, так как очень надо поднять таки этот злощастный фтп )

[dieselist]

1. на какие логи смотреть ? в логах vsftpd ничего.

Логов вобще нет? Может стоит включить логирование?
Можно попробовать как-то так.
xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES

2. права на каталог 777. да и как права могу влиять, если локально все загружаеться, а удаленно только читать ?

А под каким пользователем ты подключаешься? Покажи вывод id для этого пользователя.
А вобще, кривоватый у тебя конфиг какой-то...

[lordmuzer]

1. на какие логи смотреть ? в логах vsftpd ничего.

Логов вобще нет? Может стоит включить логирование?
Можно попробовать как-то так.
xferlog_enable=YES
xferlog_file=/var/log/vsftpd.log
xferlog_std_format=YES

логи есть. ошибок в них нет.
одно только заметил. если включить логирование всех ftp команд, в повторить проблему, в логах вообще не появляются команды на запись.
тоесть пример:

лог удаленного фтп клиента:

(Нажмите, чтобы показать/скрыть)

10:53:10:0010 <-220 Welcome to FTP service.
10:53:10:0010 ->USER ftp
10:53:10:0041 <-331 Please specify the password.
10:53:10:0041 ->PASS *hidden*
10:53:10:0229 <-230 Login successful.
10:53:10:0229 ->SYST
10:53:10:0245 <-215 UNIX Type: L8
10:53:10:0245 ->PWD
10:53:10:0260 <-257 "/"
10:53:10:0260 ->TYPE I
10:53:10:0291 <-200 Switching to Binary mode.
10:53:10:0291 ->REST 0
10:53:10:0323 <-350 Restart position accepted (0).
10:53:10:0323 ->PWD
10:53:10:0354 <-257 "/"
10:53:10:0354 ->PASV
10:53:10:0385 <-227 Entering Passive Mode (*,*,*,155,195,250).
10:53:10:0385 ->TYPE A
10:53:10:0416 <-200 Switching to ASCII mode.
10:53:10:0432 ->LIST
10:53:10:0448 <-150 Here comes the directory listing.
10:53:10:0651 <-226 Directory send OK.
10:53:10:0651 ->TYPE I
10:53:10:0666 <-200 Switching to Binary mode.
10:53:13:0526 ->PASV
10:53:13:0541 <-227 Entering Passive Mode (*,*,*,155,197,89).
10:53:13:0541 ->TYPE A
10:53:13:0854 <-200 Switching to ASCII mode.
10:53:13:0885 ->LIST /conemu_sample.xml
10:53:13:0932 <-150 Here comes the directory listing.
10:53:14:0073 <-226 Directory send OK.
10:53:14:0073 ->TYPE I
10:53:14:0088 <-200 Switching to Binary mode.
10:53:14:0088 ->SIZE /conemu_sample.xml
10:53:14:0088 <-550 Access is denied.
10:53:14:0088 ->TYPE I
10:53:14:0104 <-200 Switching to Binary mode.
10:53:14:0120 ->PASV
10:53:14:0151 <-227 Entering Passive Mode (*,*,*,155,196,163).
10:53:17:0104 ->STOR /conemu_sample.xml
10:53:17:0104 <-550 Access is denied.

а вот лог сесвера:

(Нажмите, чтобы показать/скрыть)

10:49:29  CONNECT: Client "*.*.*.94"
10:49:29  FTP response: Client "*.*.*.94", "220 Welcome to FTP service."
10:49:29  FTP command: Client "*.*.*.94", "USER ftp"
10:49:29  FTP response: Client "*.*.*.94", "331 Please specify the password."
10:49:29  FTP command: Client "*.*.*.94", "PASS <password>"
10:49:29  OK LOGIN: Client "*.*.*.94"
10:49:29  FTP response: Client "*.*.*.94", "230 Login successful."
10:49:29  FTP command: Client "*.*.*.94", "SYST"
10:49:29  FTP response: Client "*.*.*.94", "215 UNIX Type: L8"
10:49:29  FTP command: Client "*.*.*.94", "PWD"
10:49:29  FTP response: Client "*.*.*.94", "257 "/""
10:49:29  FTP command: Client "*.*.*.94", "TYPE I"
10:49:29  FTP response: Client "*.*.*.94", "200 Switching to Binary mode."
10:49:29  FTP command: Client "*.*.*.94", "REST 0"
10:49:29  FTP response: Client "*.*.*.94", "350 Restart position accepted (0)."
10:49:29  FTP command: Client "*.*.*.94", "PWD"
10:49:29  FTP response: Client "*.*.*.94", "257 "/""
10:49:29  FTP command: Client "*.*.*.94", "PASV"
10:49:29  FTP response: Client "*.*.*.94", "227 Entering Passive Mode (*,*,*,155,195,250)."
10:49:29  FTP command: Client "*.*.*.94", "TYPE A"
10:49:29  FTP response: Client "*.*.*.94", "200 Switching to ASCII mode."
10:49:29  FTP command: Client "*.*.*.94", "LIST"
10:49:29  FTP response: Client "*.*.*.94", "150 Here comes the directory listing."
10:49:29  FTP response: Client "*.*.*.94", "226 Directory send OK."
10:49:30  FTP command: Client "*.*.*.94", "TYPE I"
10:49:30  FTP response: Client "*.*.*.94", "200 Switching to Binary mode."
10:49:32  FTP command: Client "*.*.*.94", "PASV"
10:49:32  FTP response: Client "*.*.*.94", "227 Entering Passive Mode (*,*,*,155,197,89)."
10:49:32  FTP command: Client "*.*.*.94", "TYPE A"
10:49:32  FTP response: Client "*.*.*.94", "200 Switching to ASCII mode."
10:49:33  FTP command: Client "*.*.*.94", "LIST /conemu_sample.xml"
10:49:33  FTP response: Client "*.*.*.94", "150 Here comes the directory listing."
10:49:33  FTP response: Client "*.*.*.94", "226 Directory send OK."
10:49:33  FTP command: Client "*.*.*.94", "TYPE I"
10:49:33  FTP response: Client "*.*.*.94", "200 Switching to Binary mode."
10:49:33  FTP command: Client "*.*.*.94", "TYPE I"
10:49:33  FTP response: Client "*.*.*.94", "200 Switching to Binary mode."
10:49:33  FTP command: Client "*.*.*.94", "PASV"
10:49:33  FTP response: Client "*.*.*.94", "227 Entering Passive Mode (*,*,*,155,196,163)."

как видно до сервера вообще не доходят команды типо SIZE, STOR. потому я и подумал что дело не в сервера самом, а в каких то настройках системы.

2. права на каталог 777. да и как права могу влиять, если локально все загружаеться, а удаленно только читать ?

А под каким пользователем ты подключаешься? Покажи вывод id для этого пользователя.
А вобще, кривоватый у тебя конфиг какой-то...

чем он кривоват ? подключаюсь под ftp. права для ftp на каталог выставлены.
еще раз, если заходить локально на сервер, под тем же пользователем ftp то все закачивается/создается/удаляется.

[dieselist]

В Active mode картинка та же?
Кто удаленный клиент? Какая на нем система, в какой он сети?
можно вывод iptables -L

[lordmuzer]

удаленный клиент под управлением winXP sp3
проверял несколько клиентов, от просто ftp.exe до FileZilla. результат одинаковый.
активный/пассивный режим тоже проверил. тупо до vsftpd не доходят команды SIZE, STOR, хотя в настройках стоит write_enable=YES
может если использовать guest_enable=YES надо еще что то писать. но опять же, локально то все работает.

iptables -L для сервера:

Код: [Выделить]

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
на клиенте фаеволов нету, на другие фтп в интернете ходит нормально

[dieselist]

Поднял у себя vsftpd с твои конфигом, удаленно подключаюсь, пишу\читаю без проблем. Так что я уже тоже сомневаюсь, что дело в vsftpd.
Что говорит  apparmor_status? Контроллирует эта заразка фтп аль нет. 

[lordmuzer]

и я про тоже. что дело не в vsftpd.

sudo apparmor_status

(Нажмите, чтобы показать/скрыть)

apparmor module is loaded.
10 profiles are loaded.
10 profiles are in enforce mode.
   /sbin/dhclient3
   /usr/bin/evince
   /usr/bin/evince-previewer
   /usr/bin/evince-thumbnailer
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/connman/scripts/dhclient-script
   /usr/lib/cups/backend/cups-pdf
   /usr/sbin/cupsd
   /usr/sbin/tcpdump
   /usr/share/gdm/guest-session/Xsession
0 profiles are in complain mode.
2 processes have profiles defined.
2 processes are in enforce mode :
   /sbin/dhclient3 (4414)
   /usr/sbin/cupsd (1343)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.

такие проблемы раньше вызывались selinux, но как я понял в версии ubuntu 10.04 его нету по умолчанию.

жду еще советов. предоставлю любые конфиги и тп

[dieselist]

такие проблемы раньше вызывались selinux, но как я понял в версии ubuntu 10.04 его нету по умолчанию.

а не по умолчанию? dpkg -l | grep selinux
есть возможность проверить фтп с других клиентских машин?
в какой сети это все происходит? нет каких-нить хитрых штук типа Cisco ASA?

[lordmuzer]

dpkg -l | grep selinux

(Нажмите, чтобы показать/скрыть)

ii  libselinux1   2.0.89-4     SELinux runtime shared libraries
ii  libselinux1-dev 2.0.89-4     SELinux development headers

оно ? но никаких конфигов, про которые пишут в нете /selinux/... нету, там вообще пусто.

[dieselist]

dpkg -l | grep selinux

(Нажмите, чтобы показать/скрыть)

ii  libselinux1   2.0.89-4     SELinux runtime shared libraries
ii  libselinux1-dev 2.0.89-4     SELinux development headers

оно ? но никаких конфигов, про которые пишут в нете /selinux/... нету, там вообще пусто.

Нет, не оно. Это всего лишь либы.
А что по поводу других моих вопросов?

[lordmuzer]

отправил в ПМ