Titel: mod_tls und verständnisfrage... Beitrag von: Pleitegeier am 01. Dezember 2003, 13:33:10 hello again,
hab nen neues prob und ein verständnisproblem. 1.ich wollte nochn bischen rumtesten und das mod_tls miteinbauen. klappt aber wieder nich so, wie ich das möchte :D. nach make bekomm ich folgenden fehler zurück Code: /usr/bin/ld: cannot find -lssl collect2: ld returned 1 exit status make: *** [proftpd] Error 1 die ldconfig findet was /usr/lib: Code: libssl.so.0.9.6 -> libssl.so.0.9.6 hab den pfad trotzdem mal angeben, gleiche meldung :(... 2. mein verständnisproblem liegt bei rechteverteilung von systemunabhängigen usern und mod_sql. ich hab grad gelesen, dass das ifsession mod dafür mitkompiliert werden muss. ok, das werde ich machen :)...aber: wie muss ich denn den die zugriffsberechtigung für ein verzeichnis setzen? vor allem für welchen user, gruppe? thx 'n greetz PS: ich geb auchn bier aus :P Titel: Re: mod_tls und verständnisfrage... Beitrag von: stonki am 01. Dezember 2003, 18:13:03 Zitat von: "Pleitegeier" Code: /usr/bin/ld: cannot find -lssl collect2: ld returned 1 exit status make: *** [proftpd] Error 1 check mal ob Du die ssl-devel packete installiert hast. Zitat 2. mein verständnisproblem liegt bei rechteverteilung von systemunabhängigen usern und mod_sql. ich hab grad gelesen, dass das ifsession mod dafür mitkompiliert werden muss. ok, das werde ich machen :)...aber: wie muss ich denn den die zugriffsberechtigung für ein verzeichnis setzen? vor allem für welchen user, gruppe? was meinst Du, wieso muss dafuer ifsession mit reingemacht werden ? Was willste denn machen ? cu stonki Titel: Re: mod_tls und verständnisfrage... Beitrag von: Pleitegeier am 02. Dezember 2003, 10:35:07 Zitat von: "stonki" check mal ob Du die ssl-devel packete installiert hast. nein, hatte ich nicht, jetzt funzt es...thx :) Zitat was meinst Du, wieso muss dafuer ifsession mit reingemacht werden ? Was willste denn machen ? ich glaube, ich 'muss' :P...ich probier mal zu erklären: ich möchte mind. 2 verschiedene ftp gruppen mit unterschiedlichen berechtigungen. das soll so in etwa aussehen: absolut --> ftp homedir I. /home/ftp/username --> / # homedir, was hier reingeschrieben wird ist 'privat' II. /home/ftp/share --> /share # hier soll von ALLEN usern der beiden gruppen die upload dirs angezeigt werden III. /home/ftp/share/username --> /upload # das persönl. upload dir eines ftp users, das mit den anderen user geshared wird IV. /var/www/htdocs --> /www # zugriff auf das webroot unabhängig von der gruppe soll jeder ftpuser von den dirs her das gleiche homedir haben, jedoch mit unterschiedlichen berechtigungen. I. soll nur user selbst sehen können, dort soll er die vollen rechte haben II. hier soll der user alles sehen, listen und downloaden dürfen, nach möglichkeit soll sein eigenes (upload)dir hier nicht sichtbar sein III. hier soll der user selbst wieder die vollen rechte haben IV. hier sollen alle ftpuser zugriff drauf haben, jedoch mit unterschiedlicher berechtigung. gruppe1 soll z.b. fast alles dürfen, gruppe2 jedoch nur lesen, listen und downloaden. spätestens bei IV dachte ich, komme ich nicht mehr um ifsession herum... was ich auch halt nicht so ganz raff, ist die zugriffsberechtigung auf unixebene. da ich jetzt mysqlftpuser verwende, greift die alte zugriffsberechtigung nicht mehr. mal am beispiel IV (/var/www/htdocs): das verzeichnis gehört z.b. dem systembekanntem user 'www' und der systembekannten gruppe 'www' mit der berechtigung 755. wenn ich jetzt mit nem systemunbekanntem ftpuser connecte, habe ich SO keine chance dort was schreiben zu dürfen (Permission denied). wenn ich dieses verzeichniss auf 777 setzte, klappt es. dann klappt das auch mit der zugriffsberechtigung, die ich in der proftpd.conf setze. aber ich kann mir halt nicht vorstellen, dass das der richtige weg ist, oder? thx 'n greetz Titel: Re: mod_tls und verständnisfrage... Beitrag von: stonki am 02. Dezember 2003, 14:51:21 Zitat von: "Pleitegeier" spätestens bei IV dachte ich, komme ich nicht mehr um ifsession herum... was ich auch halt nicht so ganz raff, ist die zugriffsberechtigung auf unixebene. da ich jetzt mysqlftpuser verwende, greift die alte zugriffsberechtigung nicht mehr. mal am beispiel IV (/var/www/htdocs): das verzeichnis gehört z.b. dem systembekanntem user 'www' und der systembekannten gruppe 'www' mit der berechtigung 755. wenn ich jetzt mit nem systemunbekanntem ftpuser connecte, habe ich SO keine chance dort was schreiben zu dürfen (Permission denied). wenn ich dieses verzeichniss auf 777 setzte, klappt es. dann klappt das auch mit der zugriffsberechtigung, die ich in der proftpd.conf setze. aber ich kann mir halt nicht vorstellen, dass das der richtige weg ist, oder? thx 'n greetz naja, du kannst aber z.B. dem mysql User ja in die Gruppe "www" packen. Also wenn ich das so ueberblicke, kannst Du das natuerlich mit ifsessions machen, musst Du aber nicht. Fuer mich sieht das (auf den ersten fluechtigen Blick) aus, wie eine normale Gruppen angelegenheit, die man mittels Unix Rechten und einer normalen proFTPD conf loesen kann. cu stonki Titel: Re: mod_tls und verständnisfrage... Beitrag von: Pleitegeier am 03. Dezember 2003, 10:40:15 Zitat von: "stonki" Fuer mich sieht das (auf den ersten fluechtigen Blick) aus, wie eine normale Gruppen angelegenheit, die man mittels Unix Rechten und einer normalen proFTPD conf loesen kann. ja, das stimmt wohl...so hatte ich das ja vorher. ich möchte das aber gern unabhängig von der unix berechtigung haben, damit ich auch später mehr möglichkeiten habe, wenn ich z.B. noch mehr gruppen mit unterschiedlicher berechtigung brauche. damit wär ich auf wieder beim o.g. problem. ich raff einfach nicht, wie der proftpd das handlet: wem muss das verzeichnis (und mit welcher berechtigung) auf unixebene gehören, damit unterschiedliche mysqlgruppen und mysqluser, die unter unix nicht existieren, ggf. alles dürfen??? wenn mein verzeichnis z.b. der unixgruppe www gehört, kann ich z.zt. die zugriffsberechtigung ja nur 'vernünftig' regeln, wenn meine mysqlgruppe die gleiche gruppenid wie die unixgruppe hat. wenn ich ne neue mysqlgruppe anlege, habe ich ein problem mit der berechtigung, weil die gid auf unixebene ja gar nicht existiert. ich kann mir halt auch nicht vorstellen, wie das funzen soll. muss der server als root gestartet werden bzw geht das überhaupt??? thx 'n greetz Titel: mod_tls und verständnisfrage... Beitrag von: Pleitegeier am 04. Dezember 2003, 11:54:21 hey stonki oder wörsty...vergesst mich nicht :P
Titel: Re: mod_tls und verständnisfrage... Beitrag von: stonki am 04. Dezember 2003, 13:28:09 Zitat von: "Pleitegeier" wem muss das verzeichnis (und mit welcher berechtigung) auf unixebene gehören, damit unterschiedliche mysqlgruppen und mysqluser, die unter unix nicht existieren, ggf. alles dürfen??? wenn mein verzeichnis z.b. der unixgruppe www gehört, kann ich z.zt. die zugriffsberechtigung ja nur 'vernünftig' regeln, wenn meine mysqlgruppe die gleiche gruppenid wie die unixgruppe hat. wenn ich ne neue mysqlgruppe anlege, habe ich ein problem mit der berechtigung, weil die gid auf unixebene ja gar nicht existiert. ich kann mir halt auch nicht vorstellen, wie das funzen soll. muss der server als root gestartet werden bzw geht das überhaupt??? thx 'n greetz ne, alles anders :) Zugeben, das verwenden von mysql macht die Sache auf dem ersten Blick nicht einfacher, aber ok. Fangen wir hinten an: Den proFTPD Server musst Du natuerlich als Root starten, damit er z.B. Port 21 binden kann etc. Nach dem einloggen als User <stonki in der mysql DB> wechselt dann ProFTPD in die UID/GID die in der mySQL fuer den User <stonki in der mysql DB> drin steht. Nun hast Du zwei Moeglichkeiten: Zum einen legst Du fuer jeden User in der SQL DB eine eigene UID an. also sagen wir mal 50.000 aufwaers, die von einem normalen Szystem eh nicht benutzt werden. Oder Du laesst alles auf einer UID und bastelst das mit Gruppen, die aber (ACHTUNG !) ebenfalls nur Virtuall exisiteren. Virtuell bedeutet, dass die Gruppen als Zahl angeben werden, nicht aber in /etc/groups (oder User in /etc/passwd) existieren. Linux (oder Unix) ist das scheiss egal. cu stonki Titel: Re: mod_tls und verständnisfrage... Beitrag von: Pleitegeier am 04. Dezember 2003, 16:50:35 hi, erstmal danke für deine geduld ;). daß die ids aus der db kommen ist mir wohl schon aufgefallen. mein hauptverständnisproblem liegt bei der zugriffsberechtigung von einem bestimmtem verzeichnis. ich kann auch nicht wirklich gut erklären...aber ich probiers nochmal:
ich geh jetzt wieder von meinem webroot aus, dass ich gerne mit verschiedenen ftp gruppen sharen möchte. als beispiel: ich hab 3 ftpgruppen, die in der datenbank liegen. diesen gruppen möchte ich verschiedene berechtigungen geben. bsp: gruppe1 nur lesen; gruppe2 lesen und schreiben; gruppe3 lesen, schreiben und löschen das webverzeichnis htdocs sind nach ner frischen installation so aus: Code: rzhdeb:/var/www# ls -al | grep htdocs drwxr-xr-x 8 root staff 4096 Dec 4 14:13 htdocs in der proftpd.conf setzte ich jetzt für die gruppe2 folgende zugriffsberechtigung Code: <Directory /var/www/htdocs> <Limit WRITE READ DIRS REST> AllowAll </Limit> <Limit SITE_CHMOD DELE> DenyAll </Limit> </Directory> wenn ich mich jetzt mit einem user dieser gruppe einlogg, kann ich so nicht in mein htdocs dir schreiben. es sei denn ich setze das verzeichnis so chmod o+w htdocs/, dann gehts wohl. wie du schon sagtest sehe ich eine hochgeladene file weder username noch gruppenname, sondern ftpuserid und ftpgroupid: Code: rzhdeb:/var/www/htdocs# ls -al | grep Readme.txt -rw-r--r-- 1 50000 60000 1508 Dec 4 15:56 Readme.txt wenn ich jetzt z.b. ein board oder sowas uppe, habe ich für die neuen verzeichnisse die Berechtigung 755 und für die files 644. wenn ich mich jetzt mit einem anderem user aus einer anderen gruppe einlogg, habe ich keine chance was aus den unterverzeichniss zu löschen, auch wenn die gruppe das nach der proftpd.conf darf. dann müsste ich das neue unterverzeichniss erst wieder 'freischalten'. oder kann ich das nur lösen, wenn ich umask in der proftpd.conf auf 020 setze???? s0 dass ich allen usern immer alle rechte gebe? Zitat von: "stonki" Den proFTPD Server musst Du natuerlich als Root starten, damit er z.B. Port 21 binden kann etc. hmm, hab ich da auch was missverstanden? ich kann doch in der proftpd.conf user und group für den serverstart angeben, und der is doch per default auf nobody und nogroup gesetzt :?: Titel: mod_tls und verständnisfrage... Beitrag von: Pleitegeier am 05. Dezember 2003, 09:24:54 *stonkiwantedupdate* :D
Titel: mod_tls und verständnisfrage... Beitrag von: stonki am 05. Dezember 2003, 13:04:48 Zitat von: "Pleitegeier" *stonkiwantedupdate* :D mal meinen Englaender raushaengen lassen" Stonki wanted update" ist falsch, da Du ja das Update willst "Stonki4UpdateWanted" ist vielleicht nicht 100% richtig, aber trifft den Kern besser". Alternativ kann man in Deutsch auch schreiben "EyStonkiMachHinne" :) Titel: Re: mod_tls und verständnisfrage... Beitrag von: stonki am 05. Dezember 2003, 13:20:32 Zitat von: "Pleitegeier" hi, erstmal danke für deine geduld ;). daß die ids aus der db kommen ist mir wohl schon aufgefallen. mein hauptverständnisproblem liegt bei der zugriffsberechtigung von einem bestimmtem verzeichnis. ich kann auch nicht wirklich gut erklären...aber ich probiers nochmal: ich geh jetzt wieder von meinem webroot aus, dass ich gerne mit verschiedenen ftp gruppen sharen möchte. als beispiel: ich hab 3 ftpgruppen, die in der datenbank liegen. diesen gruppen möchte ich verschiedene berechtigungen geben. bsp: gruppe1 nur lesen; gruppe2 lesen und schreiben; gruppe3 lesen, schreiben und löschen das webverzeichnis htdocs sind nach ner frischen installation so aus: Code: rzhdeb:/var/www# ls -al | grep htdocs drwxr-xr-x 8 root staff 4096 Dec 4 14:13 htdocs in der proftpd.conf setzte ich jetzt für die gruppe2 folgende zugriffsberechtigung Code: <Directory /var/www/htdocs> <Limit WRITE READ DIRS REST> AllowAll </Limit> <Limit SITE_CHMOD DELE> DenyAll </Limit> </Directory> wenn ich mich jetzt mit einem user dieser gruppe einlogg, kann ich so nicht in mein htdocs dir schreiben. es sei denn ich setze das verzeichnis so chmod o+w htdocs/, dann gehts wohl. wie du schon sagtest sehe ich eine hochgeladene file weder username noch gruppenname, sondern ftpuserid und ftpgroupid: Code: rzhdeb:/var/www/htdocs# ls -al | grep Readme.txt -rw-r--r-- 1 50000 60000 1508 Dec 4 15:56 Readme.txt wenn ich jetzt z.b. ein board oder sowas uppe, habe ich für die neuen verzeichnisse die Berechtigung 755 und für die files 644. wenn ich mich jetzt mit einem anderem user aus einer anderen gruppe einlogg, habe ich keine chance was aus den unterverzeichniss zu löschen, auch wenn die gruppe das nach der proftpd.conf darf. dann müsste ich das neue unterverzeichniss erst wieder 'freischalten'. oder kann ich das nur lösen, wenn ich umask in der proftpd.conf auf 020 setze???? s0 dass ich allen usern immer alle rechte gebe? Zitat von: "stonki" Den proFTPD Server musst Du natuerlich als Root starten, damit er z.B. Port 21 binden kann etc. hmm, hab ich da auch was missverstanden? ich kann doch in der proftpd.conf user und group für den serverstart angeben, und der is doch per default auf nobody und nogroup gesetzt :?: ok, dann mal von vorne... Fangen wir mit dem User an. Ok, Du hast natuerlich teilweise recht. Das mit dem User/Gruppe ist wie folgt. DU startest ProFTPD als ROOT. ProFTPD macht seine Aufgaben, bindet den Port und faellt dann auf den User/Gruppe zurueck, der in der Config angegeben ist. Nun loggt sich jemand ein, ProFTPD wird kurz root, macht seine Jobs (z.B. Chroot) und wird dann zum user der sich eingeloggt hat. Siehe letzte Zeile hier: http://www.proftpd.org/docs/directives/linked/config_ref_User.html Zu Deiner Config hast Du 2 Moeglichkeiten: Du hast also in der Mysql DB user: 50.000, 50.001, 50.002, ... 50.999 und drei Gruppen: 60.000, 60.001 und 60.002. Nun wuerde ich einfach chmod 666 auf alle Dateien und chmod 777 auf alle Dirs setzen. Damit duerfen alle ALLES. Nun kannst Du in Deiner Config das so machen: <Directory /srv/bla/blub> <Limit All> DenyALL </limit> <Limit READ> Order Allow, Deny (vielleicht auch anders rum, bin ich zu bloed fuer) AllowGroup 50000 AllowGroup 50001 DenyALL </limit> <Limit WRITE> Order Allow, Deny (vielleicht auch anders rum, bin ich zu bloed fuer) AllowGroup 50000 DenyALL </limit> die andere Moeglichkeit waere mit einer seperaten Group Tabelle, schon auf Filebene die (zumindestr Schreibrechte) zu sichern. Kommt immer drauf an, ob noch jemand anders Zugang auf die Machine hat oder nur Du. (ausserdem denke an PHP, Perl Scripte, mit denen man relativ einfach immer viel Unsinn ansdtellen kann).. cu stonki Titel: mod_tls und verständnisfrage... Beitrag von: Pleitegeier am 09. Dezember 2003, 12:56:48 jetzt habe ich gerafft, danke dir :)
|