www.ProFTPD.de
13. März 2007, 19:24:56 *
Willkommen Gast. Bitte einloggen oder registrieren.
Haben Sie Ihre Aktivierungs E-Mail übersehen?

Einloggen mit Benutzername, Passwort und Sitzungslänge
News: SMF - Neu installiert!
 
   Übersicht   Hilfe Suche Login Registrieren  
Seiten: 1 [2]   Nach unten
  Drucken  
Autor Thema: Zugriffsrechte  (Gelesen 601 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
maone
ProFTPD
*
Offline Offline

Beiträge: 14


Profil anzeigen
« Antwort #15 am: 03. Februar 2006, 13:40:58 »

Das Problem ist, dass ich nicht weiß inwieweit "normale" Dateizugriffsrechte bei ProFTPd eine Rolle spielen!

Ohne den "Directory"-Teil könnte doch jeder in sein Root-Verzeichnis schreiben, oder?
Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #16 am: 03. Februar 2006, 15:07:19 »

Sobald man als FTP-User eingeloggt ist, hat der zugehörige ProFTPD-Prozess die vordefinierten UID/GID des Users.
Damit gelten die Unixrechte uneingeschränkt und genauso als hätte man sich mit einer Shell eingeloggt!

Zu Punkt zwei:
das hatte ich nicht richtig realisiert - ich dachte, es ginge dabei nur um einen Admin. Nun ist klar.

Den User kann man entweder durch geschickt gesetzte Unix-Rechte reglementieren
oder aber durch die zwei "Directory"-Blöcke weiter oben in diesem Thread.

Jetzt sollte aber alles geklärt sein.

mfg.
  VolGas
Gespeichert
maone
ProFTPD
*
Offline Offline

Beiträge: 14


Profil anzeigen
« Antwort #17 am: 03. Februar 2006, 17:22:58 »

Hab ich das richtig verstanden, dass ich für jeden FTP-User einen dazugehörigen FTP-User anlegen muss?
Irgendwie steh ich auf der Leitung!
Dachte ich kann das mit SQL umgehen!
Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #18 am: 03. Februar 2006, 18:23:47 »

Bitte einen, nein, besser gleich zwei Schritte zur Seite!

In mySQL werden zu den Usernamen UID/GID's vergeben, die nach einem erfolgreichen Einloggen
dann von dem laufenden ProFTPD-Prozess übernommen werden.

Das ist genau so, als hätte man sich als existierender Systemuser mit einer Shell eingeloggt,
ohne daß aber dieser besagte Shelluser wirklich im System angelegt sein muß.

Ebenso kann man auch im Filesystem mit nicht im System eingetragenen Usern und Gruppen arbeiten.

Ich hoffe, ich habe mich nun verständlich genug ausgedrückt.

mfg.
  VolGas
Gespeichert
maone
ProFTPD
*
Offline Offline

Beiträge: 14


Profil anzeigen
« Antwort #19 am: 03. Februar 2006, 18:59:39 »

Darf ich dich noch ein (hoffentlich) letztes Mal nerven?

Code:

#
# /etc/proftpd.conf -- oxymoronsrv
#

ServerName                      "oxymoronsrv"
ServerType                      standalone
ServerAdmin                     support@oxymoron.at

ServerIdent                     on      "FTP Server ready."
DeferWelcome                    on
DefaultServer                   on

Port                            21
Umask                           037 027

User                            nobody
Group                           nogroup

AllowOverwrite                  on

AllowRetrieveRestart            on
AllowStoreRestart               on

MaxClientsPerHost               5       "Nicht mehr als %m Verbindungen"
MaxClients                      30      "Leider sind schon %m Clients verbunden"
MaxLoginAttempts                3
MaxInstances                    30

ShowSymlinks                    off

TimeoutNoTransfer               600
TimeoutStalled                  600
TimeoutIdle                     1200

DisplayLogin                    welcome.msg

DefaultRoot                     ~
DenyFilter                      \*.*/

UseReverseDNS                   off
IdentLookups                    off

RequireValidShell               off

ListOptions                     +R      strict

<Directory ~/*>
        <Limit CWD MKD RTFR RNTO DELE RMD RETR STOR SITE_CHMOD>
                AllowAll
        </Limit>
</Directory>

# SQL Zugangskontrolle

SQLAuthTypes                    Plaintext
SQLAuthenticate                 users*
SQLConnectInfo                  sys_ftpserver@localhost USER PASSWORD
SQLDefaultGID                   65534
SQLDefaultUID                   65534
SQLMinUserGID                   100
SQLMinUserUID                   500
SQLUserInfo                     users userid passwd uid NULL homedir NULL
SQLHomeDirOnDemand              off


Passt das jetzt alles?

Ist es nicht auf irgendeinem Weg über die Directory & Limit Anweisungen möglich einem Benutzer Zugriff (schreibend&lesend) auf den root (oberste Ebene aller per FTP zugänglichen Dateien) zu geben?

Neu erstellte Dateien/Ordner haben die Berechtigung "rw-r-----"...stimmt das so?
Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #20 am: 03. Februar 2006, 19:57:01 »

Die die Berechtigung "rw-r-----" ist für Dateien in Ordnung, aber für
Verzeichnisse sollte es "rwxr-x---" sein, sonst klappt das mit den Usern und dem Apachen nicht!

Deinen "directory"-Block läßt momentan noch jeden in Dein "root"-Verzeichnis,
es fehlt der Teil der weiter oben im Thread beschrieben wurde, um auch dieses zu sperren.

Nach wie vor würde ich Dir noch einmal empfehlen, Deine Struktur zu überdenken!
Jedem User sein eigenes home-Verzeichnis und dann dort für jede Domain ein Unterverzeichnis.

Es wurde in diesem Thread nun alles relevante mindestens schon einmal angesprchen.
Das sollte schon längstens ausreichen, damit Du von selbst weiterkommst.

mfg.
  Volker
Gespeichert
maone
ProFTPD
*
Offline Offline

Beiträge: 14


Profil anzeigen
« Antwort #21 am: 03. Februar 2006, 20:06:50 »

Zitat von: "VolGas"
Nach wie vor würde ich Dir noch einmal empfehlen, Deine Struktur zu überdenken!
Jedem User sein eigenes home-Verzeichnis und dann dort für jede Domain ein Unterverzeichnis.
So ist es doch jetzt!
Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #22 am: 03. Februar 2006, 20:20:47 »

Schmeiß' den einen "Directory"-Block raus und dann:
Code:
<Directory ~>
<Limit WRITE>
AllowUser administrator
DenyAll
</Limit>
</Directory>

<Directory ~/*>
<Limit WRITE>
AllowAll
</Limit>
</Directory>

Feierabend!

mfg.
  VolGas
Gespeichert
maone
ProFTPD
*
Offline Offline

Beiträge: 14


Profil anzeigen
« Antwort #23 am: 04. Februar 2006, 12:03:23 »

So kann keiner ins "Haupt"-Root?!
Also ins Root vom Admin!?

Mit ist es lieber genau zu sagen was jeder darf:
Code:
<Directory ~>
        <Limit MKD RTFR RNTO DELE RMD STOR SITE_CHMOD>
                AllowUser administrator
                DenyAll
        </Limit>
</Directory>

<Directory ~/*>
        <Limit CWD MKD RTFR RNTO DELE RMD RETR STOR SITE_CHMOD>
                AllowAll
        </Limit>
</Directory>


Stimmt so, oder?

"Umask 026 027" müsste doch stimmen, oder?

Ich möchte für Dateien "rw-r-----" haben -> enspricht "640" -> 666-640 -> 026
Ich möchte für Ordner "rwxr-x---" haben -> enspricht "750" -> 777-750 -> 027
Gespeichert
Seiten: 1 [2]   Nach oben
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.2 | SMF © 2006-2007, Simple Machines LLC Prüfe XHTML 1.0 Prüfe CSS
Seite erstellt in 0.057 Sekunden mit 16 Zugriffen.