proftpd chroot() ok-wie richte ich einen ftpadmin!=root ein

[karl]

Gleich die nächste Frage:

# chroot für alle User der Gruppe ftpuser
DefaultRoot ~ ftpuser
alle user der Gruppe ftpuser werden somit in ihre home dirs eingesperrt.
super. Aber wie definiere ich nun einen user der quasi das /home/ftp als sein home dir hat und somit als ftpadmin unterwegs sein kann, da er auch auf die anderen zugreifen kann (für pflege und aufräumen bzw. kontrolle)

# Login nur von Mitgliedern der Gruppe ftpuser erlauben
<Limit LOGIN>
DenyGroup !ftpuser
</Limit>
Dies erlaubt ja ausschließlich den Mitgliedern der  Gruppe ftpuser den Zugriff auf den ftp...

Vermutlich hab ich irgendwo geschlafen, bin allerdings für jede Hilfe dankbar ;=)

[VolGas]

Hi,

erzeuge einen User, der zur Gruppe "ftpuser" und "ftpadmin" gehört.
Ersetze in der .conf. die "DefaultRoot"-Direktive mit:

Code:

DefaultRoot ~ !ftpadmin
DefaultRoot /home/ftp ftpadmin

ProFTPD neu starten, fertig.

Wie immer: ohne Gewähr!
(sollte aber funktionieren)

IMHO wäre es aber wesentlich besser, auf solche "Spielchen"
gänzlich zu verzichten und den Server per SSH zu verwalten...
Fummelt ein User nämlich richtig an den Gruppenrechten, dann
steht Dein "ftpadmin" sowieso auf'm Schlauch.

mfg.
  VolGas

[karl]

ja ich weiß, das es nicht wirklich optimal ist.
Da hilft nur Wachsamkeit und ein gutes backup für en Fall der Fälle.

es genügt übrigens einfach schon, wenn man den user ftpadmin anlegt mit einem übergeordneten home dir und die darunterliegenden verzeichnisse mit chown auf user:ftpuser gruppe umodelt.

vielen dank auf jeden fall.
einiges an Verwirrung kam daher, das sich die user nicht einloggen konnten, wenn sie keine /bin/bash haben.

Da muss ich nochmal schauen woran das nun wieder liegen könnte.
fake shell scheint da auch nicht zu helfen bzw. muss ich schauen ob ich das korrekt umgesetzt habe.

*EDIT*
die Logik ist mir etwas schleierhaft.
Wenn ich den user mit /bin/bash erstelle und es dann abändere in /bin/false - unabängig vom Eintrag in /etc/shells - kann sich der user nicht mehr einloggen. Erstelle ich ihn von vorneherein mit /bin/false spielt es keine Rolle.

vielleicht hat dazu noch mal jemand einen Beitrag ;=))

[VolGas]

Hi,

das Problem mit der Shell kommt wirklich sehr häufig vor, ist aber auch
sehr leicht gelöst: "RequireValidShell no" - und gut ist.

Shellzugriff per FTP war früher vielleicht einmal interessant...

mfg.
  VolGas

[karl]

mein Fehler:

das war ja der Witz, ich hatte die option schon in der config eingebaut,
deswegen war ich ja so verwirrt. ;=)

bzw. es wird meistens mit "off" beschrieben, du sagst "no", da könnte der Hase im Pfeffer liegen.

Probier ich morgen nochmal genau aus.

danke.

[VolGas]

Uups,

laut Doku muß es wirklich "on" oder "off" sein - in unserer proftpd.conf
habe ich aber "no" stehen und es funktioinierte bisher auch...?

Ist mir bisher noch noch nie aufgefallen.
Scheinbar geht beides?

mfg.
  VolGas