www.ProFTPD.de
13. März 2007, 20:28:36 *
Willkommen Gast. Bitte einloggen oder registrieren.
Haben Sie Ihre Aktivierungs E-Mail übersehen?

Einloggen mit Benutzername, Passwort und Sitzungslänge
News: SMF - Neu installiert!
 
   Übersicht   Hilfe Suche Login Registrieren  
Seiten: [1]   Nach unten
  Drucken  
Autor Thema: verschiedene Userrechte ?  (Gelesen 375 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
Breaker
ProFTPD
*
Offline Offline

Beiträge: 10


Profil anzeigen
« am: 26. August 2006, 11:51:51 »

Moin ihrs Smiley

Ich habe bei mir auf debain-Server 2 User angelegt (System-User, welches wahrscheinlich der falsche Weg gewesen ist)

Jetzt möchte ich den einen User nur das uploaden erlauben, der andere User darf resumen, donwload, upload usw.
Gibt es dafür eine Anleitung, welche Konfig-Einträge ich wo ändern/wegnehmen/einfügen muß ?

Der User, der Eingeschränkt werden soll, nennt sich "dumperjob" und hat eigentlich nur eine Aufgabe : per Crontask wird auf verschiedene Domains der MySQL-Dumper gestartet, welcher den dump per FTP auf andere Server schieben kann....wenn jetzt dieser Account irgendwann mal geknackt wird, könnte der Angreifer doch (Dank des System-User mit shell) böse Sachen bei mir anstellen,- das Prob umgehe ich doch, wenn ich User erstelle, welche sich zwar am FTP, aber nicht am System anmelden können, oder ?
Wenn es wirklich eine so große Sicherheitslücke ist, bräuchte ich erstmal etwas hilfe beim erstellen der neuen User ohne gültige shell (löschen der alten wäre ja kein Prob Zwinkernd ).

Danke euch schonmal Smiley
Gespeichert
Breaker
ProFTPD
*
Offline Offline

Beiträge: 10


Profil anzeigen
« Antwort #1 am: 27. August 2006, 00:29:00 »

So, das ganze hat sich jetzt durch eine Neuinstallation etwas geändert :

Ich habe nun 1 User für das interne Netzwerk (muß auch in andere Verzeichnisse können), dieser User muß schreib/lese/resume/Löschen-Rechte haben und 1 User (Dumperjob), welcher sich nicht am System, sondern nur am FTP einlogen darf, dieser User darf keine gültige shell haben und nur uploaden (ohne resume, löschen usw.) können.
Wie kann ich sowas am besten Konfigurieren ? System-User anlegen und den Dunperjob per MySQL-Auth anlegen ? Funktioniert das, wenn man beide Methoden gleichzeitig benutzt ?
Gespeichert
stonki
Administrator
ProFTPD
*****
Offline Offline

Beiträge: 1853


15318939
Profil anzeigen WWW E-Mail
« Antwort #2 am: 28. August 2006, 13:01:58 »

So, das ganze hat sich jetzt durch eine Neuinstallation etwas geändert :

Ich habe nun 1 User für das interne Netzwerk (muß auch in andere Verzeichnisse können), dieser User muß schreib/lese/resume/Löschen-Rechte haben und 1 User (Dumperjob), welcher sich nicht am System, sondern nur am FTP einlogen darf, dieser User darf keine gültige shell haben und nur uploaden (ohne resume, löschen usw.) können.
Wie kann ich sowas am besten Konfigurieren ? System-User anlegen und den Dunperjob per MySQL-Auth anlegen ? Funktioniert das, wenn man beide Methoden gleichzeitig benutzt ?

es geht beides, aber bei einem zusätzlichen User ist mod_sql der nackte Overkill. Lege den einfach ohne shell im System an.
Gespeichert

www.stonki.de:    the more I see, the more I know.......
www.proftpd.de:   Deutsche ProFTPD Dokumentation
www.krename.net:  Der Batch Renamer für KDE
www.kbarcode.net: Die Barcode Solution für KDE
Breaker
ProFTPD
*
Offline Offline

Beiträge: 10


Profil anzeigen
« Antwort #3 am: 28. August 2006, 17:57:37 »

Ok, danke dir erstmal Smiley

Gibt es da irgendwelche Besonderheiten, die ich bei der Rechte-Vergabe beachten muß ? (1. User darf löschen/hochladen/runterladen usw. und 2. User darf nur Uploaden, kein Verzeichniss wechseln, kein löschen, kein Resume und sowas..bei diesem User müsste ich auch Quotas aktivieren Zwinkernd )
Gespeichert
Breaker
ProFTPD
*
Offline Offline

Beiträge: 10


Profil anzeigen
« Antwort #4 am: 11. September 2006, 13:52:19 »

So, Server rennt jetzt mit 1 System-User und 2 User ohne Shell.....

Jetzt brauche ich etwas ganz spezielles :

Die 1. User ohne shell darf nur :

- uploaden
- downloaden
- resumen
- Verzeichniss auflisten
- Quota aktiv (damit mir noch Platz für System-Logs bleiben Zwinkernd )

Und soll zusätzlich in dem Login-Verzeichniss eingesperrt werden

Der 2. User ohne shell sollte so konfiguriert werden :

- Eingesperrt ins Login-Dir
- Upload
- keine weiteren Rechte
- Quota aktiv

Der 3. User mit shell bin ich,- da ist es egal, weil dieser User nur von einer ganz bestimmten IP und MAC-Adresse zugriff hat Smiley

Ist sowas ohne weitere Möglich ?
Gespeichert
VolGas
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 771



Profil anzeigen
« Antwort #5 am: 11. September 2006, 14:13:43 »

Moin,

ich kann nur dringend die Benutzung der Anweisung "DefaultRoot ~" empfehlen:
die "beamt" jeden User in sein Verzeichnis und "sperrt" ihn dort ein. (chroot)
Den Rest erledigst Du am besten über die normalen User/Gruppenrechte. sonst
kannst Du nur noch mit "<Limit...>"-Blöcken in der proftpd.conf arbeiten - aber
das ist generell für einzelne User nicht unbedingt zu empfehlen.

mfg.
  VolGas
Gespeichert
Seiten: [1]   Nach oben
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.2 | SMF © 2006-2007, Simple Machines LLC Prüfe XHTML 1.0 Prüfe CSS
Seite erstellt in 0.061 Sekunden mit 19 Zugriffen.