Problem: Zugriffsrechte im Stammverzeichnis

[Volker]

Hallo,

ich habe mir einen FTP-Server (proftpd) unter FreeBSD 5.4 installiert.

Der FTP-Server wird über inetd gestartet.

Folgende Section habe ich in der proftpd.conf eingetragen:

# Benutzer und Gruppe festlegen unter der ProFTP laufen soll
User                            ftpuser
Group                          ftpuser

und auch als user und gruppe angelegt.

Der ProFTPd-Server funktioniert im Prinzip, das Einloggen klappt.

Folgende Probleme kann ich nicht lösen:

1)
ProDTPd läuft nicht unter ftpuser/ftpuser, sondern root/96

Das dürfte ja wohl nicht der Normalfall sein, wenn man schon User und Group angeben kann.

2)
Ich habe einen User TESTUSER angelegt, der sich auf dem FTP-Server einloggen darf und auch in seinem Zielverzeichnis /home/ftp rauskommt.

In dem Ziel-Verzeichnis /home/ftp liegt ein symbol. Link der Form:

lrwxr-x---  1 root        www     47 Jan  1 20:22 link.php -> /www/htdocs/dns/site/link.php

Die Datei link.php im Verzeichnis /www/htdocs/dns/site hat folgende Rechte:

-rwxr-x---   1 root  www  5550 Aug 30 00:12 link.php

Obwohl TESTUSER nur der Gruppe TESTUSER angehört, kann er in /home/ftp den symbolischen Link link.php sowohl SEHEN als auch ÄNDERN und LÖSCHEN.

Wie ist das möglich? Ich möchte nämlich verhindern, dass der symb. Link link.php von TESTUSER gesehen bzw. geändert werden kann.

Danke für Hinweise und frohes neues Jahr
testitHallo,

ich habe mir einen FTP-Server (proftpd) unter FreeBSD 5.4 installiert.

Der FTP-Server wird über inetd gestartet.

Folgende Section habe ich in der proftpd.conf eingetragen:

# Benutzer und Gruppe festlegen unter der ProFTP laufen soll
User                            ftpuser
Group                          ftpuser

und auch als user und gruppe angelegt.

Der ProFTPd-Server funktioniert im Prinzip, das Einloggen klappt.

Folgende Probleme kann ich nicht lösen:

1)
ProDTPd läuft nicht unter ftpuser/ftpuser, sondern root/96

Das dürfte ja wohl nicht der Normalfall sein, wenn man schon User und Group angeben kann.

2)
Ich habe einen User TESTUSER angelegt, der sich auf dem FTP-Server einloggen darf und auch in seinem Zielverzeichnis /home/ftp rauskommt.

In dem Ziel-Verzeichnis /home/ftp liegt ein symbol. Link der Form:

lrwxr-x---  1 root        www     47 Jan  1 20:22 link.php -> /www/htdocs/dns/site/link.php

Die Datei link.php im Verzeichnis /www/htdocs/dns/site hat folgende Rechte:

-rwxr-x---   1 root  www  5550 Aug 30 00:12 link.php

Obwohl TESTUSER nur der Gruppe TESTUSER angehört, kann er in /home/ftp den symbolischen Link link.php sowohl SEHEN als auch ÄNDERN und LÖSCHEN.

Wie ist das möglich? Ich möchte nämlich verhindern, dass der symb. Link link.php von TESTUSER gesehen bzw. geändert werden kann.

Danke für Hinweise und frohes neues Jahr
Volker

[VolGas]

Hallo Volker,

im Standalone-Modus ist es so, daß (normalerweise) ein Serverprozess mit root-Rechten läuft und beim einloggen eines Users ein child-Prozess gestartet wird, der dann sofort seine Root-Rechte aufgibt und UID und GID wechselt. Das ist schon richtig so.

Mit dem inetd zu arbeiten finde ich nicht so gut, deswegen bin ich mir nicht sicher, ob meine Antwort stimmt: der inetd übernimmt komplett die Kontrolle und startet die entsprechende Prozesse mit vordefinierter UID selbst.
In wie weit ein Serverprozess dann noch Möglichkeiten hat, Einfluß zu nehmen und ggf. sogar UID und GID zu wechseln, weiß ich nicht.

Ich kann nur empfehlen, was auch in der Doku steht: benutze den Standalone-Modus!

Zu 2:
Hier fehlt Hintergrund, sprich: die config.

Aber soviel kann ich sagen, denn ich diese Falle bin ich selbst auch getappt: ist der eingeloggte User Eigentümer des "umgebenden" Verzeichnisses, so hat dieser immer das Recht auch fremde Dateien in seinem Verzeichnis zu löschen - auch wenn die Userrechte formal fehlen sollten.

Wie man per FTP allerdings einen Link ändern können soll (geht nicht!?), entzieht sich meiner Kenntnis - zumal daß Links normalerweise keine eigenen Rechte besitzen und immer mit "rwxrwxrwx" angelegt werden. Wirklich greifen ja erst die Rechte der Zieldatei...

mfg.
  VolGas

[Anonymous]

Hi,

ich habe jetzt ProFTP im Standalone-Modus laufen, aber irgendetwas stimmt mit den Zugriffsrechten nicht.

Unter
http://www.bsdforen.de/showthread.php?t=13179
wird das Problem diskutiert, aber eine Lösung ist nicht in Sicht.

Ich habe den Eindruck, dass ProFTP die Zugriffsrechte nicht korrekt interpretiert, da fuer den gleichen Testuser, dem ich einen FTP-Account angelegt habe, alles korrekt funktioniert.


Gruss
Volker

[stonki]

# Benutzer und Gruppe festlegen unter der ProFTP laufen soll
User                            ftpuser
Group                          ftpuser

also das ist ein klassisches Missverständnis. ALSO.... <räusper>

ProFTPD wird gestartet, er holt sich kurz root rechte um den Port zu binden etc und fällt dann auf die oben angegebe UID/GID zurück. Nun loggt sich User Stonki.users ein, ProFTPD wechselt kurz zurück in "ROOT" und startet einen Prozess unter "stonki.users", der dann anschliessend für mich zuständig ist. Der ProFTPD Masterprozess läuft weiter als "ftpuser."

cu
stonki

P.S. Das war für Standalone...

[stonki]

Obwohl TESTUSER nur der Gruppe TESTUSER angehört, kann er in /home/ftp den symbolischen Link link.php sowohl SEHEN als auch ÄNDERN und LÖSCHEN.

http://www.proftpd.de/forum/viewtopic.php?t=307&highlight=rechte+root

mein 2tes Posting.. Unix Rechte sind nicht immer logisch :)

cu
stonki

[Anonymous]

P.S. Das war für Standalone...

Eben! Unter inetd gestartet, habe ich den Server-Prozess stets als Root gesehen, wenn ich bspw. eine grössere Datei übertragen und mit ps auxww nachgesehen habe.

Danke und Gruss
Volker