www.ProFTPD.de

ProFTPD => ProFTPD - Deutsch => Thema gestartet von: nadine am 20. Februar 2007, 10:44:19



Titel: ftpaccess
Beitrag von: nadine am 20. Februar 2007, 10:44:19
Und gleich noch eine Frage,

ich versuche mit ProFTPD eine wu-ftp-Server nachzubauen. Auf dem wurden die Berechtigungen über eine zentrale ftpaccess-Datei (/etc/ftpaccess) geregelt.
Wie kann ich diese Rechte am einfachsten übernehmen, ohne jedes Mal ne Directory-Direktive in die Conf zu schreiben?
In der ftpaccess stehen so tolle Sachen drin wie:

Code:
upload /data/ftproot/DACHS/LONG_TERM yes DACHS DACHS 0660 nodirs
noretreive /data/ftproot/etc/*

Danke auch hier für Hinweise und Tips,

Nadine


Titel: Re: ftpaccess
Beitrag von: VolGas am 20. Februar 2007, 11:29:46
Es gibt zwar die Möglichkeit, daß in den Verzeichnissen ein ".ftpaccess"-File (ähnlich wie ".htaccess")
berücksichtigt wird (siehe auch ->hier (http://www.proftpd.de/Direktiven.54.0.html#317)), aber das ist bei weitem nicht das Gleiche.

Solch ein File, daß zentral die Zugriffsrechte von jedem einzelnen Verzeichnis regelt, ist beim ProFTPD
nicht notwendig. Du solltest Dich ganz von dieser Vorstellung lösen.

Der ProFTPD ist wie eine Usershell zu betrachten: nach dem Einloggen hat der neu gestartete, individuelle
Prozess die selbe User- und Group-ID wie der eingeloggte User - alle Root-Rechte wurden aufgegeben.
Damit hat der ProFTPD nur noch die selben Zugriffsrechte wie der User. Das kann nicht ausgehebelt oder
umgangen, sondern nur weiter ausgebaut werden!

Also: der ProFTPD nutzt im vollen Umfang die Zugriffsrechte des Filesystems, nein, er ist ihnen sogar völlig
unterworfen. Alles, was man in der Konfiguration mit "<Limit>" zusätzlich einschränkt, sind nur FTP-Befehle,
keine eigentlichen Zugriffsrechte. Daher ist man gut beraten, wenn man mit Limitierungen in der proftpd.conf
möglichst sparsam umgeht oder besser gar nicht verwendet.

Damit man nicht auf die User beschränkt ist, die im System eingetragen sind oder für jeden FTP-User extra
einen Systemuser anlegen muß, kann man auch mit virtuellen Usern arbeiten. Dafür bietet der ProFTPD sehr
viele Möglichkeiten: ein extra File wie "/etc/passwd", mySQL, postgreSQL, LDAP, etc. - nur um die wichtigsten
zu nennen.

In diesen Files/Datenbanken/etc. wird der Username, das Passwort, der Pfad zum Homeverzeichnis und die
User- und Gruppen-ID (UID/GID) festgelegt. Dem Filesystem ist es dabei völlig "schnuppe", ob zu einer
UID/GID im System auch jeweils ein User eingetragen ist. Nur deswegen können mit dem ProFTPD auch
virtuelle User angelegt werden, die auch die entsprechenden Rechte an Dateien und Verzeichnissen haben
können.

Ich hoffe, ich konnte Dir damit verständlich machen, wie (fast brutal) einfach die Zugriffsrechte im ProFTPD
definiert werden: im Prinzip nämlich gar nicht. Daher ist auch solche ein File in der Regel nicht nur nicht
unnötig, sondern meist sogar unerwünscht. Man muß sich vielleicht etwas mehr Gedanken über die Zuordung
der User- und Gruppenrechte des Filesystems machen...

mfg.
  VolGas