Dateirechte aus der Config werden Ignoriert

[outlaw]

Moin Moin,

habe seit ein paar Wochen einen proFTPd Server laufen. Stricke fast täglich dran rum um den so zu haben wie ich es mir vorstelle aber seit vorgstern komme ich einfch nicht weiter. Es geht um die Dateirechte und die <Directory> Anweisung.

Einstellungen :
Defaultroot ~

Struktur
/home/ftp           (chmod 755) # ist das home dir meines einzigen Benutzers
/home/incoming   (chmod 777) # soll das upload verzeichnis werden
/home/test         (chmod 755) # soll ein private verzeichnis sein das nur admins sehen dürfen.

Problem :
Egal was ich bei Directory angebe, ich kann nicht in incoming uploaden (auch nicht wenn ich <limit> komplett weg lasse). Außerdem wird mir als mitglied der Sql Gruppe users das verzeichnis test angezeigt und ich kann da nett drin rumtrollen. Ich verstehe es eingfch nicht


Ich hoffe mir kann jemand einen Tipp geben

VIELEN DANK
outlaw


Ein Ausschnitt aus meiner proftpd.conf

Code:

####    Verzeichnise und deren Rechte
<Directory /home/ftp/*>
        AllowOverwrite          off
        HideNoAccess            off
        <Limit READ>
                AllowAll
        </Limit>

        <Limit WRITE>
                DenyGroup       !admins
        </Limit>

        <Limit ALL>
                IgnoreHidden on
        </Limit>

</Directory>
<Directory /home/ftp/test>
        AllowOverwrite          off
        HideNoAccess            on
        <Limit READ>
                DenyGroup       !admins
        </Limit>

        <Limit WRITE>
                DenyGroup       !admins
        </Limit>
</Directory>

<Directory /ftp/incoming/*/*>
        AllowOverwrite          on
        HideNoAccess            on

        <Limit READ>
                AllowAll
        </Limit>

        <Limit STOR MKD>
                AllowAll
        </LImit>
</Directory>

[VolGas]

Moin!

So funktioniert das nicht, das hast Du ja schon bemerkt.

Der ProFTPD ist wie eine Usershell zu betrachten: nach dem Einloggen hat der neu gestartete,
individuelle Prozess die selbe User- und Group-ID wie der eingeloggte User - alle Root-Rechte
wurden aufgegeben. Damit hat der ProFTPD nur noch die selben Zugriffsrechte wie der User.
Das kann nicht ausgehebelt oder umgangen, sondern nur weiter ausgebaut werden!

Es gelten also als allererstes die Zugriffsrechte des Filesystems, mit <Limit...>-Anweisungen
schränkt man nur zusätzlich noch die Benutzung der FTP-Befehle ein. Weiterhin sollte man mit
"DefaultRoot ~" den jeweiligen User in sein Home-Verzeichnis "beamen" und dort einsperren
lassen - Stichwort: chroot.

Der Wunsch eines Admins oder Superusers ist auch nicht realisierbar - das kann man aus gutem
Grund nur als "root" über die SSH und man sollte es unbedingt vermeiden, dies per FTP tun zu
wollen. Das geht zwar, ist aber per default -zum Glück!- deaktiviert.

mfg.
  VolGas

[outlaw]

hmm ,

danke für die Antwort aber bringen tut sie mir leider nichts . Entweder ich habe es schlecht formuliert oder du hast mein eigendliches Problem nicht erkannt.

deshalb nochmals etwas genauer (hoffe ich) :

wenn ich CHMod 777 habe warum kann er dann nicht ins Verzeichnis schreiben ?

und ich habe geschrieben
<Limit read>
 DenyGroup !admins
</Limit>

heisst das nicht das nur mitglieder der fruppe admins das verzeichnis lesen dürfen ?

Vielen Dank nochmal

[VolGas]

Ja, die Direktive "DenyGroup !admins" sperrt alle User bis auf die der Gruppe "admins" aus.

Ok, ich habe nun Dein Posting noch einmal ganz genau durchgelesen und muß mich entschuldigen:
um Zeit zu sparen habe ich wirklich zu oberflächlich durchgelesen. Jetzt aber richtig:

Du beschreibst in Deiner Struktur drei Verzeichnisse, die alle direkt unter "/home" liegen sollen.
Was mich sofort gewundert hat: Du schreibst, daß das Home-Verzeichnis Deines Users
"/home/ftp" sei - aber gleichzeitig soll dieser User außerhalb seines Home-Verzeichnisses
trotz "DefaultRoot ~" Zugriff haben. Das alleine dürfte schon einmal nicht gehen.

Damit der von Dir definierte User tatsächlich auf die erwähnten Verzeichnisse zugreifen kann,
müßten diese alle in "/home/ftp" angelegt sein. Ich gehe nun davon aus, daß das wohl so ist.

Wie aber auch immer: In dem von Dir geposteten Konfigurations-Auszug sind andere Pfade definiert!
Diese sind immer absolut anzugeben, können aber auch mit "~" für das aktuelle Home-
Verzeichnis beginnen. Dann hätte jeder User separat diese Definitionen für jeweils diese
Struktur.

Fazit: kontrolliere Deine Verzeichnispfade in Deiner Konfiguration, damit diese auch der realen
Situation entsprechen. Der ProFTPD hat alles richtig gemacht!

mfg.
  VolGas