root user für Read Only Anonymous Berreich

[DrFlow]

Morgen Jungs, erst mal Happy AdminDay. ;-)

Und jetzt mal ne Nuss zum Knacken.

Ich habe einen Anonymous Bereich mit upload Verzeichnis angelegt. D.H. im ?/? dürfen die Anonymous User nur gucken und runterladen. Dann gibt es wie sich das gehört noch ein ?/upload? zum uppen. Soweit so gut.

User aus eine privilegierten Gruppe, die nicht als Anonymous angemeldet sind (quasi ne root Gruppe) soll aber in den geschützten Bereich Dateien schreiben dürfen. Die Datei und Gruppen Rechte müssen natürlich beim schreiben wieder so verbogen werden, das die Anos ftp User da auch dann dürfen. So wie ich das mache habe ich natürlich nur einen 550 Access Permitted beim Schreiben.

Seltsamerweise kann ich aber im Verzeichnis /upload Dateien löschen, was mit normalen Anoymous Rechten nicht gehen kann.

Und da mein Gehirn gerade mal wieder einen Knoten hat, könnt Ihr mir vielleicht mal einen Tipp geben.

Ach ja, Filesystem ist fürs debugging mal pauschal 777 ;-)

# !/bin/bash
# /etc/proftpd.conf
# Configuration File of the proftpd Server

####################################################################################


#**********************************************************************************
#Basic's
########################
ServerName    "xxx FTP Servere"
ServerType    inetd

ServerAdmin    postmaster@xxx
DefaultServer    on
DeferWelcome    on
ServerIdent    on "Microsoft FTP Service"

# Port 21 is the standard FTP port.
Port 21

# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask 002

 
# Note that this ONLY works in standalone mode
#MaxInstances 30

# Set the user and group under which the server will run.
User         nobody
Group          nobody

RequireValidShell   off

PassivePorts      50000 50050


AuthUserFile      /etc/proftpd.passwd
AuthGroupFile      /etc/proftpd.group

 
# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
DefaultRoot /var/ftp


# Global File Operation
###################
<Global>
  HiddenStor       off
  AllowStoreRestart   on
  AllowRetrieveRestart   on   
  AllowOverwrite   on
</Global>


#******************************************************************
#
# Login Msg
#
#DisplayConnect      /var/ftp/.connectmsg.txt
#DisplayLogin      /var/ftp/.loginmsg.txt
#DisplayQuit      /var/ftp/.quitmsg.txt
#DisplayFirstChdir   /var/ftp/.firstchdirmsg.txt


#******************************************************************
#
# Logging Options
#
LogFormat default    "%h %l %u %t \"%r\" %s %b"
LogFormat auth         "%v [%P] %h %t \"%r\" %s"
LogFormat write      "%h %l %u %t \"%r\" %s %b"

ExtendedLog      /var/log/proftpd/access_log WRITE,READ write
ExtendedLog      /var/log/proftpd/auth_log AUTH auth
ExtendedLog      /var/log/proftpd/paranoid_log ALL default


#*******************************************************************
#
# Filter
#

# It is a very good idea to allow only filenames containing normal
# alphanumerica characters for uploads ( and not shell code)
#PathAllowFilter      "^[a-zA-Z0-9_.-]()'+$"

# We do not want .ftpaccess or .htaccess files to be uploaded
#PathDenyFilter      "(\.ftp)[a-z]+$|(\.ht)[a-z]+$"

# Do not allow to pass printf-Formats (security! see documentation!):
#AllowFilter      "^[a-zA-Z0-9@~/,_.-]*$"
#DenyFilter      "%"
#DenyFilter      \*.*/



#******************************************************************
#
# File & Folder
#


# Normally, we want files to be overwriteable.
<Directory />
  AllowOverwrite    on
  HideNoAccess      on
</Directory>


<Directory /var/ftp/members/cust1>
  AllowOverwrite   on
  HideNoAccess      on
  UserOwner      kunde1
  GroupOwner      kunde1
</Directory>

<Directory /var/ftp/members/cust2>
  AllowOverwrite   on
  HideNoAccess      on
  UserOwner      kunde2
  GroupOwner      kunde2
</Directory>

<Directory /var/ftp/members/cust3>
  AllowOverwrite   on
  HideNoAccess      on
  UserOwner      kunde3
  GroupOwner      kunde3
</Directory>

<Directory /var/ftp/public/>
  AllowOverwrite   on
  HideNoAccess      on
  UserOwner      ftp
  GroupOwner      ftp
</Directory>

# Systemnachrichten
AccessGrantMsg "Willkommen auf dem FTP-Server der xxx"
AccessDenyMsg "Zugriff verweigert"

# Loginversuche bevor Verbindung getrennt werden soll
MaxLoginAttempts 3


# A basic anonymous configuration, with upload directories.
<Anonymous ~ftp>
  # der ftp-benutzer ist normalerweise ftp. kann aber auch jeder andere
  # benutzer sein.
  User                          ftp
  Group                         ftp

  # login mit "anonymous" ist genauso gültig wie "ftp"
  UserAlias                     anonymous ftp

 # AuthAliasOnly         on

  # die maximale anzahl von clienten wird auf 5 beschränkt
  MaxClients  5 "Sorry, max %m anonymous users allowed. Try again later"

  # es sind maximal 2 verbindungen pro ip-adresse gültig
  MaxClientsPerHost 2 "Sorry, you may not connect more than %m times."

  # der filetransfer wird hier aufgezeichnet
  TransferLog             /var/log/proftpd/proftpd.pub.log

  # bei login wird die datei welcome.msg angezeigt. sie muss sich im
  # homeverzeichnis des benutzer ftp befinden
  DisplayLogin                  welcome.msg

  # bei einem wechsel in ein verzeichnis wird die datei .message angezeigt
  DisplayFirstChdir             .message

  <Directory /var/ftp/public>
     UserOwner         ftp
     GroupOwner         ftp
   <Limit ALL>
     IgnoreHidden      on
   </Limit>
   <Limit Write>
      AllowGroup      gstep
   </Limit>
  </Directory>


  <Directory upload/>
     AllowOverwrite      on
     HideNoAccess      on
     UserOwner         ftp
     GroupOwner         ftp
   <Limit STOR>
     AllowAll
   </Limit>
   <Limit READ WRITE RMD DELE MKD>
     AllowGroup      gstep
   </Limit>
  </Directory>
</Anonymous>

[stonki]

User aus eine privilegierten Gruppe, die nicht als Anonymous angemeldet sind (quasi ne root Gruppe) soll aber in den geschützten Bereich Dateien schreiben dürfen. Die Datei und Gruppen Rechte müssen natürlich beim schreiben wieder so verbogen werden, das die Anos ftp User da auch dann dürfen. So wie ich das mache habe ich natürlich nur einen 550 Access Permitted beim Schreiben.

es mag daran liegen, dass ich a) ein PISA Fall bin, b) gestern in SoHO zuviel getrunken habe, aber ich verstehe den Satz nicht....

cu
stonki

[DrFlow]

OK ich Versuche es noch mal:  Vielleicht verstehe ich es ja selber nicht.

Anonymous Bereich:

/ & /upload

Im Verzeichnis / kein upload / delete etc. für Anonymous
Im Verzeichnis /upload nur upload siehe Conf File

Ein ?Admin User? der Gruppe ?gstep? soll jetzt in der Lage sein, die Dateien und alles Andere in das Verzeichnis / zu legen. Er ist natürlich nicht als Anonymous angemeldet, sondern als vollwertiger User.

Außerdem muss der für den User eine ?UserOwner? und ?GroupOwner? greifen, da sonnst die Armen Anonymous User keinen Zugriff auf die Dateien habe. Ein manueller Chmod nach dem Aufspielen der Dateien ist nämlich Murks.

Vielen Dank schon mal für den Versuch es zu verstehen. *g*


Ich habe bereits wieder etwas gespielt, bitte neue Conf beachten:

Für Anonymous;

<Directory /var/ftp/public>
     UserOwner                  ftp
     GroupOwner                 ftp
        <Limit ALL>
          IgnoreHidden          on
        </Limit>
        <Limit Write>
          Order Deny,Allow
           DenyAll
           AllowGroup           gstep
        </Limit>
  </Directory>


  <Directory upload/>
     AllowOverwrite             on
     HideNoAccess               on
     UserOwner                  ftp
     GroupOwner                 ftp
        <Limit STOR>
          AllowAll
        </Limit>
        <Limit READ WRITE RMD DELE MKD>
          Order Deny,Allow
          DenyAll
          AllowGroup            gstep
        </Limit>
  </Directory>

[stonki]

[...]
anononyme section
[...]
     
        <Limit READ WRITE RMD DELE MKD>
          Order Deny,Allow
          DenyAll
          AllowGroup            gstep

ich haenge heute echt durch, aber wenn Du Dich anonym einloggt, dann bringt dieser ganze AllowGroup Kram nichts, denn die Gruppe steht ja fuer anonymen FTP fest.,

cu
stonki

[DrFlow]

Das eigentliche Problem ist, dass ich mit meinem Admin User nicht in die Anonymous Verzeichnisse schreiben kann. Deswegen probiere ich gerade mit dem AllowGroup rum. Der User ist halt ein Mitglied der Gruppe FTP und gstep(gstep ist primäre Gruppe). Da er ein Mitglied der Gruppe FTP ist, müsste ich auch Schreibrechte für Die Anonymous Verzeichnisse haben. Laut Filesystemerechten.

Das Ziel soll sein, dass ich mit meinem User der Gruppe xyz das Anonymous Verzeichnis verwalten kann.

Wenn sich Jemand Anonymous anmeldet darf er halt nicht schreiben können (im /upload ja). Das Funktioniert soweit.

Der Angemeldete User soll aber schreiben/lesen könne. Lesen kann ich, schreiben geht nicht.

Jetzt suche ich halt ein Beispiel, Ansatz oder meinen Denkfehler. Das muss in dieser Form ja schon X mal gemacht worden sein.

[...]
anononyme section
[...]
     
        <Limit READ WRITE RMD DELE MKD>
          Order Deny,Allow
          DenyAll
          AllowGroup            gstep

ich haenge heute echt durch, aber wenn Du Dich anonym einloggt, dann bringt dieser ganze AllowGroup Kram nichts, denn die Gruppe steht ja fuer anonymen FTP fest.,

cu
stonki

[stonki]

dann kopiere doch einmal den <dir upload> block (mit vollstaendiger Pfadangabe) in den globalen Bereich der config

[DrFlow]

Schon passiert. Funktioniert auch.

Einziger Haken: Ich kann Dateien nicht überschreiben, obwohl ich die Obtion jetzt überall gesetzt habe. Komischerweise geht das in allen anderen Verzeichnissen, die nicht zum Anonymous gehören. Konfig ist bis auf die User/Group überall gleich. Naja

Jedenfalls erst mal Danke schön.

dann kopiere doch einmal den <dir upload> block (mit vollstaendiger Pfadangabe) in den globalen Bereich der config