Verzeichnis-Berechtigungen

[nasi_be]

Hallo zusammen!

Wieso funktioniert das so nicht?
Das müßte doch eigentlich stimmen, oder?

Code:

  <Limit LOGIN>
    DenyGroup !ftpuser
  </Limit>

  <Directory /home/ftpdaten>
    HideNoAccess                on
    <Limit WRITE>
      DenyAll
    </Limit>
  </Directory>

  <Directory /home/ftpdaten/upload>
    HideNoAccess                on
    <Limit DELE RMD>
      DenyAll
    </Limit>
  </Directory>

Gruß
Thomas

[VolGas]

Hallo,

als erstes macht mich stutzig, daß Du alle User reinläßt, nur ausgerechnet die Gruppe "ftpuser" nicht???
Ich vermute einmal, daß das umgekehrt gemeint ist - dann das Ausrufezeichen entfernen...

Zweitens:
Was in "Directory"-Blöcken steht, vererbt sich auch an Unterverzeichnisse.
In dem Fall wurde für das Unterverzeichnis "upload", das sowieso schon durch den
vorherigen Block vor dem Schreiben geschützt ist, noch einmal zusätzlich geschützt werden.
Das macht keinen Sinn und ist nutzlos.

Du müßtest das Verzeichnis "upload" mit zwei "Limit"-Blöcken versehen:
einen, der das Schreiben erst mal wieder erlaubt und einen anderen, der die Rechte
dann wieder selektiv einschränkt.

 :RTFM  ->Konfigurieren der Directory Anweisung

mfg.
  VolGas

[nasi_be]

Danke für die Antwort, aber ich glaube ich muß dich ein bischen korrigieren:


zu 1.:
DenyGroup
-> Einer Gruppe den Zugriff verbieten

DenyGroup ftpuser
-> Allen Mitgliedern von ftpuser den Zugriff verbieten

DenyGroup !ftpuser
-> Allen Zugriff verbieten, die nicht Mitglied von ftpuser sind.

Demnach wäre mein Ansatz in dem Punkt doch richtig, oder sehe ich das falsch?


zu 2.:
Das mit der Vererbung ist ja soweit klar.
Das würde dann bedeuten, daß ich anstatt:

Code:

<Limit DELE RMD>
  DenyAll
</Limit>

dann schreiben müßte:

Code:

<Limit DELE RMD>
  DenyAll
</Limit>
<Limit WRITE>
  AllowAll oder AllowGroup ftpuser
</Limit>

Wie wird das denn dann ausgewertet?
Wird bei dem ersten Treffer schluß gemacht?
Dann müßte es ja eigentlich so stimmen, oder?

Gruß
Thomas

[VolGas]

Zu 1:
Sorry, zu der Uhrzeit wahr ich wohl überarbeitet und bin wohl nicht mehr
so ganz mit der doppelten Negierung klar gekommen...

Zu 2:
Bevor ich lange versuche zu erklären, versuche doch einmal folgendes:

Code:

<Directory /home/ftpdaten>
  HideNoAccess on
  <Limit WRITE>
    DenyAll
  </Limit>
</Directory>

<Directory /home/ftpdaten/upload>
  <Limit WRITE>
    AllowAll
  </Limit>
</Directory>

In (bzw. ab) "/home/ftpdaten" werden alle schreibenden Befehle verboten
und in "/home/ftpdaten/upload" (nur dort und darunter) wieder erlaubt.
"HideNoAccess" vererbt sich ab "/home/ftpdaten" durch alle Hierarchien.

Das Ganze kann man nun natürlich noch verfeinern, z.B. in das Verzeichnis "upload"
kann nur geschrieben werden, dieses kann aber nicht geöffnet/gelistet oder sonstiges werden...

Ich hoffe, Du kommst damit weiter.

mfg.
  VolGaas