proftpd rechte?

[oka]

Hallo zusammen.

Habe folgendes Problem

Moechte Daten zwischen mir und jemanden anderen austauchen!
Ich habe in einem Verzeichnis alle rechte der andere nur lesen.
im zweiten Verzeichnis genau umgekehrt.
Nun wollte ich mit einstellungen in der proftpd.conf festlegen das der user der nur leserechte hat die daten aber löschen können soll.
(Wenn er die Daten abgeholt hat sollte er sie auch löschen konnen.)
Habe mir hier vom Forum folgende einträge abgeschaut und angepasst.
Das ist das gefundene Beispiel:

  <Directory pub/verzeichnis1/>      
   <Limit STOR CWD>         # Schreiben und Verzeichnis wechseln
        AllowAll            # wird erlaubt
     </Limit>
     <Limit READ RMD DELE MKD>  # alles andere
        DenyAll               # wird verboten
   </Limit>

Das einzige das funktioniert ist das keine verzeichnisse mehr anglegt werden können.

dei rechte auf das verzeichniss schauen volgendermasen aus

dr-xrwxr-x  ich  gruppe_er    Verzeichniss1    
dr-xrwxr-x  er  gruppe_ich    Verzeichniss1

was mache ich falsch!

MFG
Oliver

PS: Bitte um nachsicht bin newkommer auf linux!

[stonki]

Nun wollte ich mit einstellungen in der proftpd.conf festlegen das der user der nur leserechte hat die daten aber löschen können soll.

Dukannst mit ProFTPD nur Unix Rechte einschraenken, aber nicht erweitern. Wenn Du Dir unsicher bist, dann gebe beiden Dirs (und den Files) erst einmaldie Rechte 777 (chmod -R 777 /Dir1 und das gleiche fuer /Dir2).

Dein Config Ausschnitt sah auf den ersten, mueden Blick nicht falsch aus.

cu
stonki

[oka]

Danke für die info!

die Syntax war nur als Beispiel gemeint!

<Directory /home/pub/To_ME>
  UserOwner owner1
  GroupOwner Group1
   <Limit STOR CWD READ DELE >    # Schreiben und Verzeichnis wechseln
      AllowUser owner2
      AllowGroup group2           # wird erlaubt
   </Limit>
   <Limit  RMD MKD >              # alles andere
      DenyAll                     # wird verboten
   </Limit>
   <Limit CWD READ DELE >         # Schreiben und Verzeichnis wechseln
      AllowUser owner1
      AllowGroup group1           # wird erlaubt
   </Limit>
   <Limit  STOR RMD MKD >         # alles andere
      DenyAll                     # wird verboten
   </Limit>
    <Limit ALL>
            Order Allow,Deny
            Allow 10.0.0.0/16
            AllowGroup owner2
            Deny ALL
    </Limit>
</Directory>

mfg
Oliver

[stonki]

Danke für die info!

die Syntax war nur als Beispiel gemeint!

<Directory /home/pub/To_ME>
  UserOwner owner1
  GroupOwner Group1
   <Limit STOR CWD READ DELE >    # Schreiben und Verzeichnis wechseln
      AllowUser owner2
      AllowGroup group2           # wird erlaubt
   </Limit>
   <Limit  RMD MKD >              # alles andere
      DenyAll                     # wird verboten
   </Limit>
   <Limit CWD READ DELE >         # Schreiben und Verzeichnis wechseln
      AllowUser owner1
      AllowGroup group1           # wird erlaubt
   </Limit>
   <Limit  STOR RMD MKD >         # alles andere
      DenyAll                     # wird verboten
   </Limit>
    <Limit ALL>
            Order Allow,Deny
            Allow 10.0.0.0/16
            AllowGroup owner2
            Deny ALL
    </Limit>
</Directory>

mfg
Oliver

neee...
In Deinem Beispiel sehe ich nur eine DIRECTORY Angabe, aber zwei mal identische Liimit Bloecke. Ist das Dein gesamter Limit Block ?

cu
stonki

[oka]

Nein das selbe habe ich für das zweite Verzeichnis auch!

[stonki]

Nein das selbe habe ich für das zweite Verzeichnis auch!

das beantworter meine Frage nicht. Poste bitte einmal ALLES, denn zumindest was Du oben gepostet hast macht keinen Sinn !

cu
stonki

[oka]

Code:

# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.

ServerName "Transferserver"
ServerType standalone
DefaultServer on

# Port 21 is the standard FTP port.
Port 21

# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
umask 002

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd).
MaxInstances 30

# Set the user and group under which the server will run.
User nobody
Group nogroup

# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
DefaultRoot ~

# Normally, we want files to be overwriteable.
<Directory />
  AllowOverwrite on
</Directory>

<Directory /home/pub/COMDATA/To_COMDATA>
  UserOwner comdata
  GroupOwner comdata
    <Limit STOR CWD READ DELE >    # Schreiben und Verzeichnis wechseln
      AllowGroup ftp               # wird erlaubt
    </Limit>
    <Limit CWD READ DELE >         # Schreiben und Verzeichnis wechseln
      AllowGroup comdata           # wird erlaubt
    </Limit>
    <Limit  RMD MKD >              # alles andere
      DenyAll                      # wird verboten
    </Limit>
      <Limit ALL>
            Order Allow,Deny
            Allow 10.0.0.0/16
            AllowGroup comdata
            Deny ALL
    </Limit>
</Directory>

<Directory /home/pub/COMDATA/To_ME>
  UserOwner transfer
  GroupOwner ftp
   <Limit STOR CWD READ DELE >    # Schreiben und Verzeichnis wechseln
      AllowUser comdata
      AllowGroup comdata          # wird erlaubt
   </Limit>
   <Limit  RMD MKD >              # alles andere
      DenyAll                     # wird verboten
   </Limit>
   <Limit CWD READ DELE >         # Schreiben und Verzeichnis wechseln
      AllowUser transfer
      AllowGroup ftp              # wird erlaubt
   </Limit>
   <Limit  STOR RMD MKD >         # alles andere
      DenyAll                     # wird verboten
   </Limit>
    <Limit ALL>
            Order Allow,Deny
            Allow 10.0.0.0/16
            AllowGroup comdata
            Deny ALL
    </Limit>
</Directory>

<Directory /home/pub/MESSIER/To_MESSIER>
  UserOwner messier
  GroupOwner messier
   <Limit STOR CWD READ DELE >    # Schreiben und Verzeichnis wechseln
      AllowGroup ftp              # wird erlaubt
   </Limit>
    <Limit CWD READ DELE >        # Schreiben und Verzeichnis wechseln
      AllowGroup messier          # wird erlaubt
    </Limit>
   <Limit  RMD MKD >              # alles andere
      DenyAll                     # wird verboten
   </Limit>
    <Limit ALL>
            Order Allow,Deny
            Allow 10.0.0.0/16
            AllowGroup messier
            Deny ALL
    </Limit>
</Directory>

<Directory /home/pub/MESSIER/To_ME>
  UserOwner transfer
  GroupOwner ftp
   <Limit STOR CWD READ DELE >    # Schreiben und Verzeichnis wechseln
      AllowGroup messier          # wird erlaubt
   </Limit>
    <Limit CWD READ DELE >        # Schreiben und Verzeichnis wechseln
      AllowGroup ftp              # wird erlaubt
    </Limit>
   <Limit  RMD MKD >              # alles andere
      DenyAll                     # wird verboten
   </Limit>
    <Limit ALL>
            Order Allow,Deny
            Allow 10.0.0.0/16
            AllowGroup messier
            Deny ALL
    </Limit>
</Directory>

PS: der Server steht in einer DMZ

[stonki]

Hallo,

ich bin mir nicht 100%, aber ich denke Deine Syntax ist falsch. Ich kann mir beim besten Willen nicht vorstellen, dass identische Limit Blocks mehrfach aufgefuehrt werden koennen.

Code:

    <Limit STOR CWD READ DELE >  
[..]
    <Limit CWD READ DELE >        

Du muesstest diese blocke aufteilen

<Limit CWD READ DELE>
AllowGroup grp1
AllowGroup grp2
</limit>

<Limit STOR>
AllowGroup grp1
</Limit>

cu
stonki

[oka]

Danke für die Info!  

Wie schon gesagt,  bin was Linux und ProFtpD angeht sehr unbedarft!  :oops:  
(Typischer Windows Admin)
Werde deine Tips am Montag testen!

Eine frage hätte ich noch wie sollten die rechte auf die einzelnen Verzeichnisse ausshen?

MFG
Oliver

[stonki]

Danke für die Info!   :D

 noch wie sollten die rechte auf die einzelnen Verzeichnisse ausshen?

MFG
Oliver

mal ne praxis Antwort (Security wise eine Katastrophe): Alles auf chmod -R 777 * setzen und schauen das es geht, dann die rechte runterdrehen.. Aber: psss, das habe ich nicht gesagt :)

cu
stonki, der sich nun schaemt

[oka]

Code:

# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.

ServerName "WFL Transferserver"
ServerType standalone
DefaultServer on

# Port 21 is the standard FTP port.
Port 21

# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
umask 022

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd).
MaxInstances 30

# Set the user and group under which the server will run.
User nobody
Group nogroup

# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
DefaultRoot ~

# Normally, we want files to be overwriteable.
<Directory />
  AllowOverwrite on
</Directory>

<Directory /home/pub/COMDATA/To_COMDATA>
    <Limit CWD READ DELE >    #
      AllowUser transfer      # wird erlaubt
      AllowUser comdata      # wird erlaubt
    </Limit>
    <Limit STOR >             # Schreiben
      AllowGroup transfer     # wird erlaubt
    </Limit>
    <Limit  RMD MKD >         # alles andere
      DenyAll                 # wird verboten
    </Limit>
</Directory>

<Directory /home/pub/COMDATA/To_ME>
   <Limit CWD READ DELE >         #
      AllowUser transfer          # wird erlaubt
      AllowUser comdata          # wird erlaubt
   </Limit>
    <Limit STOR >                 # Schreiben
      AllowGroup comdata          # wird erlaubt
   </Limit>
   <Limit  RMD MKD >              # alles andere
      DenyAll                     # wird verboten
   </Limit>
</Directory>

<Directory /home/pub/MESSIER/To_MESSIER>
   <Limit CWD READ DELE >    # Schreiben und Verzeichnis wechseln
      AllowUser transfer     # wird erlaubt
      AllowUser messier     # wird erlaubt
   </Limit>
    <Limit STOR >            # Schreiben und Verzeichnis wechseln
      AllowUser transfer      # wird erlaubt
    </Limit>
   <Limit  RMD MKD >              # alles andere
      DenyAll                     # wird verboten
   </Limit>
</Directory>

<Directory /home/pub/MESSIER/To_ME>
   <Limit CWD READ DELE >    # Schreiben und Verzeichnis wechseln
      AllowUser messier     # wird erlaubt
      AllowUser transfer     # wird erlaubt
   </Limit>
    <Limit STOR >   # Schreiben und Verzeichnis wechseln
      AllowUser messier     # wird erlaubt
    </Limit>
   <Limit  RMD MKD >         # alles andere
      DenyAll                # wird verboten
   </Limit>
</Directory>

Habe heute das script wie oben ersichtlich geändert!
Leider greifen nur die filerechte!

Sobald ich 777 vergebe dürfen alle alles!!!! (Bis auf Verzeichnisse erstellen das Klappt!)
Vielleicht faellt Dier "stonki"  noch was dazu ein.
Der Server steht in einer DMZ (Server hat eine private IP) und ist über NAT (auf der firewall) erreichbar!

was mach ich falsch. :?:  :?:  :?:

Die Verzeichnisse haben jeweil als "owner" den User der was speichern soll.
Die Gruppen habe ich zusammengeführt auf eine einzelne und über alle Verzeichnisse gelegt!

MFG
Oliver

[stonki]

Sobald ich 777 vergebe dürfen alle alles!!!! (Bis auf Verzeichnisse erstellen das Klappt!)
Vielleicht faellt Dier "stonki"  noch was dazu ein.
was mach ich falsch. :?:  :?:  :?:

So, Du musst nun sehr tapfer sein (kann natuerlich auch sein, dass ich mich total versehe, dann schulde ich Dir 3 Bier in Soho):

WO bitte verbietest DU irgendetwas ?

z.B:

<Directory /home/pub/MESSIER/To_MESSIER>
   <Limit CWD READ DELE >    # Schreiben und Verzeichnis wechseln
      AllowUser transfer     # wird erlaubt
      AllowUser messier     # wird erlaubt
   </Limit>
    <Limit STOR >            # Schreiben und Verzeichnis wechseln
      AllowUser transfer      # wird erlaubt
    </Limit>
   <Limit  RMD MKD >              # alles andere
      DenyAll                     # wird verboten
   </Limit>
</Directory>

ok, MKD wird verboten und sonst ?

ich wuerde daraus machen:

<Directory /home/pub/MESSIER/To_MESSIER>
 <limit ALL>
 DenyALL
 </limit>

 <Limit CWD READ DELE >    # Schreiben und Verzeichnis wechseln
      AllowUser transfer     # wird erlaubt
      AllowUser messier     # wird erlaubt
   </Limit>
  <Limit STOR >            # Schreiben und Verzeichnis wechseln
      AllowUser transfer      # wird erlaubt
    </Limit>
</Directory>


cu
stonki

[oka]

So, Du musst nun sehr tapfer sein (kann natuerlich auch sein, dass ich mich total versehe, dann schulde ich Dir 3 Bier in Soho):

Bin tapfer und schulde dir nun 3 Bier. :idiot)

Habe nun endlich verstanden! :sorry)

Werde es gleich morgen ausprobieren!

MFG
Oliver  :thx)

PS: Nachtrag:

Funktioniert leider auch nicht!  :??
Jetzt sehe ich kein Verzeichniss mehr! (To_ME, etc.)

Habe Dein Beispiel auch so gestalte das das DENY ALL ganz unten stand,
leider auch nicht!

 :??

[stonki]

Jetzt sehe ich kein Verzeichniss mehr! (To_ME, etc.)

ok, stimmt :)
http://www.proftpd.de/index.php?id=28&language=&directive_name=limit&module_id=

READ (alle lesenden Befehle, jedoch NICHT das Verzeichnis auflisten z.B. RETR, STAT)
 WRITE (alle schreibenden Befehle, wie löschen, erstellen, umbenennen)
 DIRS (alle Befehle, die mit dem auflisten eines Verzeichnisses zu tun haben, z.B. LIST, NLST)
 ALL (alle FTP Befehle, identisch mit READ WRITE DIR. Diese Gruppe hat die niedrigste Priorität)

[oka]

Code:

<Directory /home/pub/MESSIER/To_MESSIER>
<Limit CWD READ DELE > # Schreiben und Verzeichnis wechseln
Order Allow,Deny
AllowUser transfer # wird erlaubt
AllowUser messier # wird erlaubt
DenyALL
</Limit>
<Limit STOR > # Schreiben und Verzeichnis wechseln
Order Allow,Deny
AllowUser transfer # wird erlaubt
DenyALL
</Limit>
</Directory>

So hab ich es geschafft! :spannend)

Was sagst Du?
Ist es Zufall oder ist der Syntax richtig!  :??

MFG
Oliver

PS: Das mit dem Bier steht trotzdem!!!