Zugriff nur für Owner?

[mace]

Für einen "Datenserver" (MySql) für meine Schule bräuchte ich eben diese Zugriffsart..
zB. habe ich die Gruppen "Admins" "Lehrer" "Schueler", die schüler sind sagen wir mal user000 bis user500.

Wie kann ich festlegen das der user nur sein eigenes Verzeichniss öffnen, beschreiben, usw kann ohne das ich den Block 500 mal in die Config schreiben muss?

Code:

[...]
<Directory /var/ftp/user000/>
 <Limit ALL>
  DenyAll
 </Limit>
 <Limit ALL>
  AllowUser user000 ### oder eben der Owner...
  AllowGroup Admins
 </Limit>
</Directory>
[...]

Die Forensuche hat mir leider keine intresannten Hinweise gegeben, nur "AllowUser Owner" was aber dann nur den User Owner zulässt..

Hoffentlich fällt euch was ein ..
Bin für alle Vorschläge offen

[VolGas]

Hallo!

Wenn man für jeden User die proftpd.conf ändern müßte - Wahnsinn!

Über ein Auth-Modul wird der User identifiziert und dessen Home-Verzeichnis definiert.
Mittels "DefaultRoot ~" wird dann der User in sein Verzeichnis "eingesperrt" - fertig!

Als Auth-Modul kann man das Standard Unix System nutzen, aber auch diverse andere wie
z.B. auch mySQL. Ein Beispiel dazu findest Du unter ->Support->Beispiel Konfigurationen
und zwei Doku's unter ->Support->Docs

Lesen, denken und ausprobieren mußt Du dann aber schon selber...  

mfg.
  VolGas

[mace]

des is scho klar
blos das mein defaultroot /var/ftp sein muss
und die homeverzeichnisse /var/ftp/userXXX sind..
wenn ich mich jetzt mit user001 anmelde komme ich ja trozdem in user002 nei..

[VolGas]

Scheint doch nicht ganz so klar zu sein: jeder User hat sein eigenes Verzeichnis,
sein Home-Verzeichnis. Dafür stellvertretend schreibt man ein "~", also "beamt"
"DefaultRoot ~" den User zuerst in sein Verzeichnis und "sperrt" (chroot) ihn
dann dort ein.

Du must nur jedem User sein richtiges Verzeichnis als Homedir zuweisen:

user001 -> var/ftp/user001
user002 -> var/ftp/user002
user003 -> var/ftp/user003
...

Jedes Auth-Modul kann das; evtl. kann man sich mit einem Script die Daten
einpflegen lassen.

mfg.
  VolGas

[mace]

ja aber ich muss aus dem home verzeichniss "eins nach oben" wechseln können

[VolGas]

der user nur sein eigenes Verzeichniss öffnen, beschreiben, usw kann

? ? ?

Gut, wenn Die User nicht in ihr Verzeichnis eingesperrt sein sollen, dann fünktioniert
vielleicht "DefaultChdir ~" so wie Du das möchtest...

Eine Quelle der "Inspiration" kann übrigens die Liste der Direktiven sein...

mfg.
  VolGas

[mace]

gut ich probies nochmal

ich hab die ordnerstruktur:

Code:

/var/ftp
  |- vorlagen/
  |- mail/
  |- user000/
  |- user001/
  |- user002/
  |- user005/

DefaultRoot ist  /var/ftp
HomeDir ist /vor/ftp/userXXX

in der config muss ich ja für jedes verzeichniss die rechte einstellen:
entweder so für jeden user

Code:

# Anfang der Schüler
<Directory /var/ftp/user000>
 <Limit ALL>
  DenyAll
 </Limit>
 <Limit ALL>
  AllowUser user000
  AllowGroup admins
 </Limit>
</Directory>

oder eben

Code:

# Anfang der Schüler
<Directory ~>
 <Limit ALL>
  DenyAll
 </Limit>
 <Limit ALL>
  AllowUser userXXX
  AllowGroup admins
 </Limit>
</Directory>

wobei ich für userXXX ja den betreffenden user brauche..

vieleicht verstest dus ja jetzt 
 

[stonki]

also ich fasse zusammen: Du brauchst einen User, der in sein Home Verzeichnis eingesperrt wird und dennoch zugriff auf zwei Verzeichnisse (mails und vorlagen) ausserhalb des CHroot hast ?

bei vielen Usern (wo ein mounten kein macht) würde ich mich nun mit vroot beschäftigen

http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-Chroot.html
http://www.castaglia.org/proftpd/modules/mod_vroot.html

[mace]

ich werds ausprobiern.
danke

[VolGas]

So, wieder da und habe auch eine Idee: benutze das Rechtesystem des Filesystems
und gib jedem User seine eigene UID (z.B. user001 = 10001, user002 = 10002, ...)
und allen Usern die gleiche Gruppe.

Dann den User nach dem Einloggen in sein Verzeichnis "beamen", aber die "Einsperrung"
erfolgt (in diesem Fall) zwei Ebenen höher. Versuche das Ganze doch einmal mit:

DefaultRoot /var/ftp
DefaultChdir ~
Umask 0077

Dadurch, daß jeder User sein eigenes Verzeichnis mit seiner eigenen UID hat, können
sich die User nicht gegenseitig in den Verzeichnissen herumfummeln (keine Gruppenrechte!),
sehr wohl aber in den übergeordneten Verzeichnissen stöbern, deren User- und Gruppenrechte
entsprechend gesetzt sind.

Das Ganze ohne irgendwelche zusätzlichen Module, -zigfaches Mounten oder Tricks.

Ist das die Lösung, die Du gesucht hast?

mfg.
  VolGas

[mace]

dafür muss ich jetzt ja system user anlegen,
was mir eigentlich nicht so gefällt ..
aber sonst wärs ne gute lösung

[stonki]

dafür muss ich jetzt ja system user anlegen,
was mir eigentlich nicht so gefällt ..
aber sonst wärs ne gute lösung

nein. muss man nicht. kann  man per mod_sql machen

[VolGas]

@Stonki: Danke - so macht das schon fast Spaß...

@mace:

In meinen ersten drei Antworten wäre eigentlich schon alles zu entnehmen gewesen.
Man hätte eben nur alles miteinander kombinieren müssen. (=Denken, probieren...)
Nix für ungut, gell?   

Dem Filesystem ist es völlig schnuppe, ob es zu den jeweiligen UID's/GID's eingetragene
Systemuser bzw. -gruppen gibt. Nur so kann das mit den virtuellen Usern funktionieren.
Und die kannst Du gut von einem Script anlegen lassen - das minimiert Deinen Aufwand.

Ich weiß nicht, ob die Direktiven, so wie von mir oben angegeben, tatsächlich funktionieren.
Das sollten sie aber - viel Erfolg damit!

mfg.
  VolGas