Zugriffsrechte

[maone]

Das Problem ist, dass ich nicht weiß inwieweit "normale" Dateizugriffsrechte bei ProFTPd eine Rolle spielen!

Ohne den "Directory"-Teil könnte doch jeder in sein Root-Verzeichnis schreiben, oder?

[VolGas]

Sobald man als FTP-User eingeloggt ist, hat der zugehörige ProFTPD-Prozess die vordefinierten UID/GID des Users.
Damit gelten die Unixrechte uneingeschränkt und genauso als hätte man sich mit einer Shell eingeloggt!

Zu Punkt zwei:
das hatte ich nicht richtig realisiert - ich dachte, es ginge dabei nur um einen Admin. Nun ist klar.

Den User kann man entweder durch geschickt gesetzte Unix-Rechte reglementieren
oder aber durch die zwei "Directory"-Blöcke weiter oben in diesem Thread.

Jetzt sollte aber alles geklärt sein.

mfg.
  VolGas

[maone]

Hab ich das richtig verstanden, dass ich für jeden FTP-User einen dazugehörigen FTP-User anlegen muss?
Irgendwie steh ich auf der Leitung!
Dachte ich kann das mit SQL umgehen!

[VolGas]

Bitte einen, nein, besser gleich zwei Schritte zur Seite!

In mySQL werden zu den Usernamen UID/GID's vergeben, die nach einem erfolgreichen Einloggen
dann von dem laufenden ProFTPD-Prozess übernommen werden.

Das ist genau so, als hätte man sich als existierender Systemuser mit einer Shell eingeloggt,
ohne daß aber dieser besagte Shelluser wirklich im System angelegt sein muß.

Ebenso kann man auch im Filesystem mit nicht im System eingetragenen Usern und Gruppen arbeiten.

Ich hoffe, ich habe mich nun verständlich genug ausgedrückt.

mfg.
  VolGas

[maone]

Darf ich dich noch ein (hoffentlich) letztes Mal nerven?

Code:

#
# /etc/proftpd.conf -- oxymoronsrv
#

ServerName                      "oxymoronsrv"
ServerType                      standalone
ServerAdmin                     support@oxymoron.at

ServerIdent                     on      "FTP Server ready."
DeferWelcome                    on
DefaultServer                   on

Port                            21
Umask                           037 027

User                            nobody
Group                           nogroup

AllowOverwrite                  on

AllowRetrieveRestart            on
AllowStoreRestart               on

MaxClientsPerHost               5       "Nicht mehr als %m Verbindungen"
MaxClients                      30      "Leider sind schon %m Clients verbunden"
MaxLoginAttempts                3
MaxInstances                    30

ShowSymlinks                    off

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

DisplayLogin                    welcome.msg

DefaultRoot                     ~
DenyFilter                      \*.*/

UseReverseDNS                   off
IdentLookups                    off

RequireValidShell               off

ListOptions                     +R      strict

<Directory ~/*>
        <Limit CWD MKD RTFR RNTO DELE RMD RETR STOR SITE_CHMOD>
                AllowAll
        </Limit>
</Directory>

# SQL Zugangskontrolle

SQLAuthTypes                    Plaintext
SQLAuthenticate                 users*
SQLConnectInfo                  sys_ftpserver@localhost USER PASSWORD
SQLDefaultGID                   65534
SQLDefaultUID                   65534
SQLMinUserGID                   100
SQLMinUserUID                   500
SQLUserInfo                     users userid passwd uid NULL homedir NULL
SQLHomeDirOnDemand              off

Passt das jetzt alles?

Ist es nicht auf irgendeinem Weg über die Directory & Limit Anweisungen möglich einem Benutzer Zugriff (schreibend&lesend) auf den root (oberste Ebene aller per FTP zugänglichen Dateien) zu geben?

Neu erstellte Dateien/Ordner haben die Berechtigung "rw-r-----"...stimmt das so?

[VolGas]

Die die Berechtigung "rw-r-----" ist für Dateien in Ordnung, aber für
Verzeichnisse sollte es "rwxr-x---" sein, sonst klappt das mit den Usern und dem Apachen nicht!

Deinen "directory"-Block läßt momentan noch jeden in Dein "root"-Verzeichnis,
es fehlt der Teil der weiter oben im Thread beschrieben wurde, um auch dieses zu sperren.

Nach wie vor würde ich Dir noch einmal empfehlen, Deine Struktur zu überdenken!
Jedem User sein eigenes home-Verzeichnis und dann dort für jede Domain ein Unterverzeichnis.

Es wurde in diesem Thread nun alles relevante mindestens schon einmal angesprchen.
Das sollte schon längstens ausreichen, damit Du von selbst weiterkommst.

mfg.
  Volker

[maone]

Nach wie vor würde ich Dir noch einmal empfehlen, Deine Struktur zu überdenken!
Jedem User sein eigenes home-Verzeichnis und dann dort für jede Domain ein Unterverzeichnis.

So ist es doch jetzt!

[VolGas]

Schmeiß' den einen "Directory"-Block raus und dann:

Code:

<Directory ~>
<Limit WRITE>
AllowUser administrator
DenyAll
</Limit>
</Directory>

<Directory ~/*>
<Limit WRITE>
AllowAll
</Limit>
</Directory>

Feierabend!

mfg.
  VolGas

[maone]

So kann keiner ins "Haupt"-Root?!
Also ins Root vom Admin!?

Mit ist es lieber genau zu sagen was jeder darf:

Code:

<Directory ~>
        <Limit MKD RTFR RNTO DELE RMD STOR SITE_CHMOD>
                AllowUser administrator
                DenyAll
        </Limit>
</Directory>

<Directory ~/*>
        <Limit CWD MKD RTFR RNTO DELE RMD RETR STOR SITE_CHMOD>
                AllowAll
        </Limit>
</Directory>

Stimmt so, oder?

"Umask 026 027" müsste doch stimmen, oder?

Ich möchte für Dateien "rw-r-----" haben -> enspricht "640" -> 666-640 -> 026
Ich möchte für Ordner "rwxr-x---" haben -> enspricht "750" -> 777-750 -> 027