ProFTPd "Contraseña incorrecta" incluso cuando la contraseña es correcta

tag-icon tag-icon ftp proftpd
ProFTPd "Contraseña incorrecta" incluso cuando la contraseña es correcta

Estoy intentando configurar ProFTPd con usuarios virtuales para satisfacer los requisitos del cliente. Actualmente, estoy realizando pruebas localmente y solo tengo un usuario de prueba incluido en el archivo de usuario virtual (me niego a considerar usuarios del sistema):

nicole:[secret redacted]:10001:10001::/srv/ftp/nicole:/bin/false

Al intentar conectarme con el mismo nombre de usuario y contraseña, aparece 530 Login Incorrect. Los registros generados por proftpd -nd10no son informativos:

2024-01-15 19:02:12,618 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): mod_auth_file/1.0: using passwd file '...'
2024-01-15 19:02:12,618 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): retrieved UID 10001 for user 'nicole'
2024-01-15 19:02:12,618 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): no supplemental groups found for user 'nicole'
2024-01-15 19:02:12,618 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): ROOT PRIVS at mod_auth_pam.c:348
2024-01-15 19:02:14,265 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): RELINQUISH PRIVS at mod_auth_pam.c:582
2024-01-15 19:02:14,265 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): USER nicole (Login failed): Incorrect password
2024-01-15 19:02:14,265 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching POST_CMD_ERR command 'PASS (hidden)' to mod_exec
2024-01-15 19:02:14,265 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching POST_CMD_ERR command 'PASS (hidden)' to mod_shaper
2024-01-15 19:02:14,265 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching POST_CMD_ERR command 'PASS (hidden)' to mod_wrap2
2024-01-15 19:02:14,265 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching POST_CMD_ERR command 'PASS (hidden)' to mod_radius
2024-01-15 19:02:14,265 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching POST_CMD_ERR command 'PASS (hidden)' to mod_delay
2024-01-15 19:02:14,265 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching LOG_CMD_ERR command 'PASS (hidden)' to mod_log
2024-01-15 19:02:14,265 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching LOG_CMD_ERR command 'PASS (hidden)' to mod_delay
2024-01-15 19:02:14,265 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching LOG_CMD_ERR command 'PASS (hidden)' to mod_auth
2024-01-15 19:02:14,266 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching PRE_CMD command 'SYST' to mod_exec
2024-01-15 19:02:14,266 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching PRE_CMD command 'SYST' to mod_rewrite
2024-01-15 19:02:14,266 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching PRE_CMD command 'SYST' to mod_core
2024-01-15 19:02:14,266 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching PRE_CMD command 'SYST' to mod_core
2024-01-15 19:02:14,266 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching CMD command 'SYST' to mod_core
2024-01-15 19:02:14,266 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching POST_CMD command 'SYST' to mod_exec
2024-01-15 19:02:14,266 108c14613dd6 proftpd[7] 108c14613dd6 (172.17.0.1[172.17.0.1]): dispatching LOG_CMD command 'SYST' to mod_log

RequireValidShellestá deshabilitado, al igual que la verificación de shell en la configuración de PAM. Esto se ejecuta en un contenedor Docker, por lo que no tengo ningún registro de PAM (no debería necesitarlos si no estoy usando un usuario del sistema, ¿verdad? La documentación y los resultados de la búsqueda no están claros al respecto).

¿Existe otra fuente de mensajes de error que pueda comprobar? no creo Login Incorrectque sea miverdaderoerror y algo más va mal, pero no he trabajado seriamente con un demonio FTP en aproximadamente diez años y he olvidado la mayoría de los pasos para solucionar el problema.

(Soy consciente de que configurar protocolos globalmente obsoletos como FTP en cualquier sentido es una Mala Idea™ y debería usar literalmente cualquier otra cosa en su lugar, pero estoy al menos a dos grados de cualquier posición en la que pueda hacer ese tipo de cambio, por lo que FTP debe ser.)

Respuesta1

El problema seguía siendo PAM.

La documentaciónfuertementeasume que definitivamente desea utilizar usuarios del sistema en su servidor, ya sea que tenga usuarios virtuales o no, e insistirá en que mantenga PAM habilitado, lo que me lleva a creer que era un requisito para que se produjera la autenticación. El problema es que la autenticación PAM es "todo o nada"; lo que significa que si lo tiene habilitado, sus usuarios virtuales son efectivamente ignorados, y si no están en la base de datos de usuarios del sistema, se le negará el acceso, incluso si todo está alineado.

Si está buscando negar a los usuarios del sistema el acceso a su servidor FTP y tiene una base de datos de usuarios puramente virtual, debe configurar su AuthOrder exactamente a esto:

AuthOrder mod_auth_file.c

información relacionada