mod_tls und verständnisfrage...

[Pleitegeier]

hello again,

hab nen neues prob und ein verständnisproblem.

1.ich wollte nochn bischen rumtesten und das mod_tls miteinbauen. klappt aber wieder nich so, wie ich das möchte . nach make bekomm ich folgenden fehler zurück

Code:

 
/usr/bin/ld: cannot find -lssl
collect2: ld returned 1 exit status
make: *** [proftpd] Error 1

die ldconfig  findet was /usr/lib:

Code:

libssl.so.0.9.6 -> libssl.so.0.9.6

hab den pfad trotzdem mal angeben, gleiche meldung ...

2. mein verständnisproblem liegt bei rechteverteilung von systemunabhängigen usern und mod_sql. ich hab grad gelesen, dass das ifsession mod dafür mitkompiliert werden muss. ok, das werde ich machen ...aber: wie muss ich denn den die zugriffsberechtigung für ein verzeichnis setzen? vor allem für welchen user, gruppe?

thx 'n greetz

PS: ich geb auchn bier aus

[stonki]

Code:

 
/usr/bin/ld: cannot find -lssl
collect2: ld returned 1 exit status
make: *** [proftpd] Error 1

check mal ob Du die ssl-devel packete installiert hast.

2. mein verständnisproblem liegt bei rechteverteilung von systemunabhängigen usern und mod_sql. ich hab grad gelesen, dass das ifsession mod dafür mitkompiliert werden muss. ok, das werde ich machen :)...aber: wie muss ich denn den die zugriffsberechtigung für ein verzeichnis setzen? vor allem für welchen user, gruppe?

was meinst Du, wieso muss dafuer  ifsession mit reingemacht werden ? Was willste denn machen ?

cu
stonki

[Pleitegeier]

check mal ob Du die ssl-devel packete installiert hast.

nein, hatte ich nicht, jetzt funzt es...thx

was meinst Du, wieso muss dafuer  ifsession mit reingemacht werden ? Was willste denn machen ?

ich glaube, ich 'muss' ...ich probier mal zu erklären:

ich möchte mind. 2 verschiedene ftp gruppen mit unterschiedlichen berechtigungen. das soll so in etwa aussehen:

absolut                     --> ftp homedir

I.   /home/ftp/username         --> /               # homedir, was hier reingeschrieben wird ist 'privat'
II.  /home/ftp/share         --> /share            # hier soll von ALLEN usern der beiden gruppen die upload dirs angezeigt werden
III. /home/ftp/share/username   --> /upload             # das persönl. upload dir eines ftp users, das mit den anderen user geshared wird
IV.  /var/www/htdocs            --> /www                # zugriff auf das webroot

unabhängig von der gruppe soll jeder ftpuser von den dirs her das gleiche homedir haben, jedoch mit unterschiedlichen berechtigungen.

I. soll nur user selbst sehen können, dort soll er die vollen rechte haben
II. hier soll der user alles sehen, listen und downloaden dürfen, nach möglichkeit soll sein eigenes (upload)dir hier nicht sichtbar sein
III. hier soll der user selbst wieder die vollen rechte haben
IV. hier sollen alle ftpuser zugriff drauf haben, jedoch mit unterschiedlicher berechtigung. gruppe1 soll z.b. fast alles dürfen, gruppe2 jedoch nur lesen, listen und downloaden.

spätestens bei IV dachte ich, komme ich nicht mehr um ifsession herum...
was ich auch halt nicht so ganz raff, ist die zugriffsberechtigung auf unixebene. da ich jetzt mysqlftpuser verwende, greift die alte zugriffsberechtigung nicht mehr. mal am beispiel IV (/var/www/htdocs): das verzeichnis gehört z.b. dem systembekanntem user 'www' und der systembekannten gruppe 'www' mit der berechtigung 755. wenn ich jetzt mit nem systemunbekanntem ftpuser connecte, habe ich SO keine chance dort was schreiben zu dürfen (Permission denied). wenn ich dieses verzeichniss auf 777 setzte, klappt es. dann klappt das auch mit der zugriffsberechtigung, die ich in der proftpd.conf setze. aber ich kann mir halt nicht vorstellen, dass das der richtige weg ist, oder?

thx 'n greetz

[stonki]

spätestens bei IV dachte ich, komme ich nicht mehr um ifsession herum...
was ich auch halt nicht so ganz raff, ist die zugriffsberechtigung auf unixebene. da ich jetzt mysqlftpuser verwende, greift die alte zugriffsberechtigung nicht mehr. mal am beispiel IV (/var/www/htdocs): das verzeichnis gehört z.b. dem systembekanntem user 'www' und der systembekannten gruppe 'www' mit der berechtigung 755. wenn ich jetzt mit nem systemunbekanntem ftpuser connecte, habe ich SO keine chance dort was schreiben zu dürfen (Permission denied). wenn ich dieses verzeichniss auf 777 setzte, klappt es. dann klappt das auch mit der zugriffsberechtigung, die ich in der proftpd.conf setze. aber ich kann mir halt nicht vorstellen, dass das der richtige weg ist, oder?

thx 'n greetz

naja, du kannst aber z.B. dem mysql User ja in die Gruppe "www" packen.  Also wenn ich das so ueberblicke, kannst Du das natuerlich mit ifsessions machen, musst Du aber nicht. Fuer mich sieht das (auf den ersten fluechtigen Blick) aus, wie eine normale Gruppen angelegenheit, die man mittels Unix Rechten und einer normalen proFTPD conf loesen kann.

cu
stonki

[Pleitegeier]

Fuer mich sieht das (auf den ersten fluechtigen Blick) aus, wie eine normale Gruppen angelegenheit, die man mittels Unix Rechten und einer normalen proFTPD conf loesen kann.

ja, das stimmt wohl...so hatte ich das ja vorher. ich möchte das aber gern unabhängig von der unix berechtigung haben, damit ich auch später mehr möglichkeiten habe, wenn ich z.B. noch mehr gruppen mit unterschiedlicher berechtigung brauche.
damit wär ich auf wieder beim o.g. problem. ich raff einfach nicht, wie der proftpd das handlet:

wem muss das verzeichnis (und mit welcher berechtigung) auf unixebene gehören, damit unterschiedliche mysqlgruppen und mysqluser, die unter unix nicht existieren, ggf. alles dürfen??? wenn mein verzeichnis z.b. der unixgruppe www gehört, kann ich z.zt. die zugriffsberechtigung ja nur 'vernünftig' regeln, wenn meine mysqlgruppe die gleiche gruppenid wie die unixgruppe hat. wenn ich ne neue mysqlgruppe anlege, habe ich ein problem mit der berechtigung, weil die gid auf unixebene ja gar nicht existiert.
ich kann mir halt auch nicht vorstellen, wie das funzen soll. muss der server als root gestartet werden bzw geht das überhaupt???

thx 'n greetz

[Pleitegeier]

hey stonki oder wörsty...vergesst mich nicht

[stonki]

wem muss das verzeichnis (und mit welcher berechtigung) auf unixebene gehören, damit unterschiedliche mysqlgruppen und mysqluser, die unter unix nicht existieren, ggf. alles dürfen??? wenn mein verzeichnis z.b. der unixgruppe www gehört, kann ich z.zt. die zugriffsberechtigung ja nur 'vernünftig' regeln, wenn meine mysqlgruppe die gleiche gruppenid wie die unixgruppe hat. wenn ich ne neue mysqlgruppe anlege, habe ich ein problem mit der berechtigung, weil die gid auf unixebene ja gar nicht existiert.
ich kann mir halt auch nicht vorstellen, wie das funzen soll. muss der server als root gestartet werden bzw geht das überhaupt???

thx 'n greetz

ne, alles anders :) Zugeben, das verwenden von mysql macht die Sache auf dem ersten Blick nicht einfacher, aber ok.

Fangen wir hinten an: Den proFTPD Server musst Du natuerlich als Root starten, damit er z.B. Port 21 binden kann etc. Nach dem einloggen als User <stonki in der mysql DB> wechselt dann ProFTPD in die UID/GID die in der mySQL fuer den User <stonki in der mysql DB> drin steht.

Nun hast Du zwei Moeglichkeiten:
Zum einen legst Du fuer jeden User in der SQL DB eine eigene UID an. also sagen wir mal 50.000 aufwaers, die von einem normalen Szystem eh nicht benutzt werden. Oder Du laesst alles auf einer UID und bastelst das mit Gruppen, die aber (ACHTUNG !) ebenfalls nur Virtuall exisiteren. Virtuell bedeutet, dass die Gruppen als Zahl angeben werden, nicht aber in  /etc/groups (oder User in /etc/passwd) existieren. Linux (oder Unix) ist das scheiss egal.

cu
stonki

[Pleitegeier]

hi, erstmal danke für deine geduld . daß die ids aus der db kommen ist mir wohl schon aufgefallen. mein hauptverständnisproblem liegt bei der zugriffsberechtigung von einem bestimmtem verzeichnis. ich kann auch nicht wirklich gut erklären...aber ich probiers nochmal:

ich geh jetzt wieder von meinem webroot aus, dass ich gerne mit verschiedenen ftp gruppen sharen möchte. als beispiel:

ich hab 3 ftpgruppen, die in der datenbank liegen. diesen gruppen möchte ich verschiedene berechtigungen geben. bsp: gruppe1 nur lesen; gruppe2 lesen und schreiben; gruppe3 lesen, schreiben und löschen
das webverzeichnis htdocs sind nach ner frischen installation so aus:

Code:

rzhdeb:/var/www# ls -al | grep htdocs
drwxr-xr-x    8 root     staff        4096 Dec  4 14:13 htdocs

in der proftpd.conf setzte ich jetzt für die gruppe2 folgende zugriffsberechtigung

Code:

<Directory /var/www/htdocs>
        <Limit WRITE READ DIRS REST>
                AllowAll
        </Limit>
        <Limit SITE_CHMOD DELE>
                DenyAll
        </Limit>
   </Directory>

wenn ich mich jetzt mit einem user dieser gruppe einlogg, kann ich so nicht in mein htdocs dir schreiben. es sei denn ich setze das verzeichnis so chmod o+w htdocs/, dann gehts wohl.
wie du schon sagtest sehe ich eine hochgeladene file weder username noch gruppenname, sondern ftpuserid und ftpgroupid:

Code:

rzhdeb:/var/www/htdocs# ls -al | grep Readme.txt
-rw-r--r--    1 50000    60000        1508 Dec  4 15:56 Readme.txt

wenn ich jetzt z.b. ein board oder sowas uppe, habe ich für die neuen verzeichnisse die Berechtigung 755 und für die files 644. wenn ich mich jetzt mit einem anderem user aus einer anderen gruppe einlogg, habe ich keine chance was aus den unterverzeichniss zu löschen, auch wenn die gruppe das nach der proftpd.conf darf. dann müsste ich das neue unterverzeichniss erst wieder 'freischalten'. oder kann ich das nur lösen, wenn ich umask in der proftpd.conf auf 020 setze?
s0 dass ich allen usern immer alle rechte gebe?

Den proFTPD Server musst Du natuerlich als Root starten, damit er z.B. Port 21 binden kann etc.

hmm, hab ich da auch was missverstanden? ich kann doch in der proftpd.conf user und group für den serverstart angeben, und der is doch per default auf nobody und nogroup gesetzt  :?:

[Pleitegeier]

*stonkiwantedupdate*

[stonki]

*stonkiwantedupdate* :D

mal meinen Englaender raushaengen lassen" Stonki wanted update" ist falsch, da Du ja das Update willst "Stonki4UpdateWanted" ist vielleicht nicht 100% richtig, aber trifft den Kern besser". Alternativ kann man in Deutsch auch schreiben "EyStonkiMachHinne" :)

[stonki]

hi, erstmal danke für deine geduld ;). daß die ids aus der db kommen ist mir wohl schon aufgefallen. mein hauptverständnisproblem liegt bei der zugriffsberechtigung von einem bestimmtem verzeichnis. ich kann auch nicht wirklich gut erklären...aber ich probiers nochmal:

ich geh jetzt wieder von meinem webroot aus, dass ich gerne mit verschiedenen ftp gruppen sharen möchte. als beispiel:

ich hab 3 ftpgruppen, die in der datenbank liegen. diesen gruppen möchte ich verschiedene berechtigungen geben. bsp: gruppe1 nur lesen; gruppe2 lesen und schreiben; gruppe3 lesen, schreiben und löschen
das webverzeichnis htdocs sind nach ner frischen installation so aus:

Code:

rzhdeb:/var/www# ls -al | grep htdocs
drwxr-xr-x    8 root     staff        4096 Dec  4 14:13 htdocs

in der proftpd.conf setzte ich jetzt für die gruppe2 folgende zugriffsberechtigung

Code:

<Directory /var/www/htdocs>
        <Limit WRITE READ DIRS REST>
                AllowAll
        </Limit>
        <Limit SITE_CHMOD DELE>
                DenyAll
        </Limit>
   </Directory>

wenn ich mich jetzt mit einem user dieser gruppe einlogg, kann ich so nicht in mein htdocs dir schreiben. es sei denn ich setze das verzeichnis so chmod o+w htdocs/, dann gehts wohl.
wie du schon sagtest sehe ich eine hochgeladene file weder username noch gruppenname, sondern ftpuserid und ftpgroupid:

Code:

rzhdeb:/var/www/htdocs# ls -al | grep Readme.txt
-rw-r--r--    1 50000    60000        1508 Dec  4 15:56 Readme.txt

wenn ich jetzt z.b. ein board oder sowas uppe, habe ich für die neuen verzeichnisse die Berechtigung 755 und für die files 644. wenn ich mich jetzt mit einem anderem user aus einer anderen gruppe einlogg, habe ich keine chance was aus den unterverzeichniss zu löschen, auch wenn die gruppe das nach der proftpd.conf darf. dann müsste ich das neue unterverzeichniss erst wieder 'freischalten'. oder kann ich das nur lösen, wenn ich umask in der proftpd.conf auf 020 setze????
s0 dass ich allen usern immer alle rechte gebe?

Den proFTPD Server musst Du natuerlich als Root starten, damit er z.B. Port 21 binden kann etc.

hmm, hab ich da auch was missverstanden? ich kann doch in der proftpd.conf user und group für den serverstart angeben, und der is doch per default auf nobody und nogroup gesetzt  :?:

ok, dann mal von vorne... Fangen wir mit dem User an. Ok, Du hast natuerlich teilweise recht. Das mit dem User/Gruppe ist wie folgt.

DU startest ProFTPD als ROOT. ProFTPD macht seine Aufgaben, bindet den Port und faellt dann auf den User/Gruppe zurueck, der in der Config angegeben ist. Nun loggt sich jemand ein, ProFTPD wird kurz root, macht seine Jobs (z.B. Chroot) und wird dann zum user der sich eingeloggt hat.
Siehe letzte Zeile hier: http://www.proftpd.org/docs/directives/linked/config_ref_User.html


Zu Deiner Config hast Du 2 Moeglichkeiten:
Du hast also in der Mysql DB user: 50.000, 50.001, 50.002, ... 50.999 und drei Gruppen: 60.000, 60.001 und 60.002. Nun wuerde ich einfach chmod 666 auf alle Dateien und chmod 777 auf alle Dirs setzen.

Damit duerfen alle ALLES.

Nun kannst Du in Deiner Config das so machen:

<Directory /srv/bla/blub>
<Limit All>
DenyALL
</limit>

<Limit READ>
Order Allow, Deny (vielleicht auch anders rum, bin ich zu bloed fuer)
AllowGroup 50000
AllowGroup 50001
DenyALL
</limit>

<Limit WRITE>
Order Allow, Deny (vielleicht auch anders rum, bin ich zu bloed fuer)
AllowGroup 50000
DenyALL
</limit>


die andere Moeglichkeit waere mit einer seperaten Group Tabelle, schon auf Filebene die (zumindestr Schreibrechte) zu sichern. Kommt immer drauf an, ob noch jemand anders Zugang auf die Machine hat oder nur Du. (ausserdem denke an PHP, Perl Scripte, mit denen man relativ einfach immer viel Unsinn ansdtellen kann)..

cu
stonki

[Pleitegeier]

jetzt habe ich gerafft, danke dir