Ich habe mein ganzes Vorhaben jetzt mal durchdacht:
Das mit dem Superuser habe ich mir egtl so vergestellt:
Ich Chroote den SU (im folgenden mit <su> abgekürzt) nicht, aber verbiete ihm mit
<Directory />
<Limit ALL>
DenyUser <su>
</Limit>
<Directory>
den Zugriff aufs komplette Filesystem (entsprechende Ordner werden dann explizit erlaubt)
Was ist jetzt sinnvoller? (Auch wenn beides die Sicherheit einschränkt)
Den entsprechenden Ordnern chmod xx7 zu geben
oder
dafür sorgen, dass <su> in der entsprechenden Ownergroup ist und dann chmod x7x zu vergeben. Denke der Weg wäre sicherer, obwohl alles beide aus selbe rauskommt, wenn jmd Zugriff auf den <su> bekommt.
Bei der zweiten Methode habe ich ein Problem:
Ich möchte PAM deaktivieren, also alles über "virtuelle" User/Groups regeln, aber wie kann ich mir chown/chgrp den User/Group auf einen Namen ändern, der nicht in der passwd/group existiert. Muss ich diese dann wirklich erstellen?
Wenn ich mit GroupOwner die Gruppe eines Files auf den des virtuellen <su> ändere, hat <su> dann wirlich die GroupRechte? Also wenn <su> nicht wirklich zu der Group gehört, die im Filesystem eingetragen ist.
Also an einem Beispiel:
<su> ist in der Group "sugrp"
Der Ordner "Folder1" hat als Owner "user1" und als Group "group1" und chmod 775
Mit "GroupOwner sugrp" ändere ich die Group von "Folder1" auf "sugrp" (zumindest für ProFTPd)
Hätte <su> jetzt rwx-Rechte? Ich denke ja, weil du hast ja gemeint ich solle mir das wie eine Shell vorstellen.
Sorry, meine Fragen sind glaube ich sehr verwirrend