|
Titel: proftpd rechte? Beitrag von: oka am 20. November 2003, 22:41:33 Hallo zusammen.
Habe folgendes Problem Moechte Daten zwischen mir und jemanden anderen austauchen! Ich habe in einem Verzeichnis alle rechte der andere nur lesen. im zweiten Verzeichnis genau umgekehrt. Nun wollte ich mit einstellungen in der proftpd.conf festlegen das der user der nur leserechte hat die daten aber löschen können soll. (Wenn er die Daten abgeholt hat sollte er sie auch löschen konnen.) Habe mir hier vom Forum folgende einträge abgeschaut und angepasst. Das ist das gefundene Beispiel: <Directory pub/verzeichnis1/> <Limit STOR CWD> # Schreiben und Verzeichnis wechseln AllowAll # wird erlaubt </Limit> <Limit READ RMD DELE MKD> # alles andere DenyAll # wird verboten </Limit> Das einzige das funktioniert ist das keine verzeichnisse mehr anglegt werden können. dei rechte auf das verzeichniss schauen volgendermasen aus dr-xrwxr-x ich gruppe_er Verzeichniss1 dr-xrwxr-x er gruppe_ich Verzeichniss1 was mache ich falsch! MFG Oliver PS: Bitte um nachsicht bin newkommer auf linux! Titel: Re: proftpd rechte? Beitrag von: stonki am 21. November 2003, 08:47:12 Zitat von: "oka" Nun wollte ich mit einstellungen in der proftpd.conf festlegen das der user der nur leserechte hat die daten aber löschen können soll. Dukannst mit ProFTPD nur Unix Rechte einschraenken, aber nicht erweitern. Wenn Du Dir unsicher bist, dann gebe beiden Dirs (und den Files) erst einmaldie Rechte 777 (chmod -R 777 /Dir1 und das gleiche fuer /Dir2). Dein Config Ausschnitt sah auf den ersten, mueden Blick nicht falsch aus. cu stonki Titel: Hier der aktuelle syntax Beitrag von: oka am 21. November 2003, 10:15:27 Danke für die info!
die Syntax war nur als Beispiel gemeint! <Directory /home/pub/To_ME> UserOwner owner1 GroupOwner Group1 <Limit STOR CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowUser owner2 AllowGroup group2 # wird erlaubt </Limit> <Limit RMD MKD > # alles andere DenyAll # wird verboten </Limit> <Limit CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowUser owner1 AllowGroup group1 # wird erlaubt </Limit> <Limit STOR RMD MKD > # alles andere DenyAll # wird verboten </Limit> <Limit ALL> Order Allow,Deny Allow 10.0.0.0/16 AllowGroup owner2 Deny ALL </Limit> </Directory> mfg Oliver Titel: Re: Hier der aktuelle syntax Beitrag von: stonki am 21. November 2003, 10:19:34 Zitat von: "oka" Danke für die info! die Syntax war nur als Beispiel gemeint! <Directory /home/pub/To_ME> UserOwner owner1 GroupOwner Group1 <Limit STOR CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowUser owner2 AllowGroup group2 # wird erlaubt </Limit> <Limit RMD MKD > # alles andere DenyAll # wird verboten </Limit> <Limit CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowUser owner1 AllowGroup group1 # wird erlaubt </Limit> <Limit STOR RMD MKD > # alles andere DenyAll # wird verboten </Limit> <Limit ALL> Order Allow,Deny Allow 10.0.0.0/16 AllowGroup owner2 Deny ALL </Limit> </Directory> mfg Oliver neee... In Deinem Beispiel sehe ich nur eine DIRECTORY Angabe, aber zwei mal identische Liimit Bloecke. Ist das Dein gesamter Limit Block ? cu stonki Titel: Limit Block Beitrag von: oka am 21. November 2003, 10:27:19 Nein das selbe habe ich für das zweite Verzeichnis auch!
Titel: Re: Limit Block Beitrag von: stonki am 21. November 2003, 17:44:45 Zitat von: "oka" Nein das selbe habe ich für das zweite Verzeichnis auch! das beantworter meine Frage nicht. Poste bitte einmal ALLES, denn zumindest was Du oben gepostet hast macht keinen Sinn ! cu stonki Titel: Hier ist die proftpd.conf Beitrag von: oka am 22. November 2003, 01:51:58 Code: # This is a basic ProFTPD configuration file (rename it to # 'proftpd.conf' for actual use. It establishes a single server # and a single anonymous login. It assumes that you have a user/group # "nobody" and "ftp" for normal operation and anon. ServerName "Transferserver" ServerType standalone DefaultServer on # Port 21 is the standard FTP port. Port 21 # Umask 022 is a good standard umask to prevent new dirs and files # from being group and world writable. umask 002 # To prevent DoS attacks, set the maximum number of child processes # to 30. If you need to allow more than 30 concurrent connections # at once, simply increase this value. Note that this ONLY works # in standalone mode, in inetd mode you should use an inetd server # that allows you to limit maximum number of processes per service # (such as xinetd). MaxInstances 30 # Set the user and group under which the server will run. User nobody Group nogroup # To cause every FTP user to be "jailed" (chrooted) into their home # directory, uncomment this line. DefaultRoot ~ # Normally, we want files to be overwriteable. <Directory /> AllowOverwrite on </Directory> <Directory /home/pub/COMDATA/To_COMDATA> UserOwner comdata GroupOwner comdata <Limit STOR CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowGroup ftp # wird erlaubt </Limit> <Limit CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowGroup comdata # wird erlaubt </Limit> <Limit RMD MKD > # alles andere DenyAll # wird verboten </Limit> <Limit ALL> Order Allow,Deny Allow 10.0.0.0/16 AllowGroup comdata Deny ALL </Limit> </Directory> <Directory /home/pub/COMDATA/To_ME> UserOwner transfer GroupOwner ftp <Limit STOR CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowUser comdata AllowGroup comdata # wird erlaubt </Limit> <Limit RMD MKD > # alles andere DenyAll # wird verboten </Limit> <Limit CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowUser transfer AllowGroup ftp # wird erlaubt </Limit> <Limit STOR RMD MKD > # alles andere DenyAll # wird verboten </Limit> <Limit ALL> Order Allow,Deny Allow 10.0.0.0/16 AllowGroup comdata Deny ALL </Limit> </Directory> <Directory /home/pub/MESSIER/To_MESSIER> UserOwner messier GroupOwner messier <Limit STOR CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowGroup ftp # wird erlaubt </Limit> <Limit CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowGroup messier # wird erlaubt </Limit> <Limit RMD MKD > # alles andere DenyAll # wird verboten </Limit> <Limit ALL> Order Allow,Deny Allow 10.0.0.0/16 AllowGroup messier Deny ALL </Limit> </Directory> <Directory /home/pub/MESSIER/To_ME> UserOwner transfer GroupOwner ftp <Limit STOR CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowGroup messier # wird erlaubt </Limit> <Limit CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowGroup ftp # wird erlaubt </Limit> <Limit RMD MKD > # alles andere DenyAll # wird verboten </Limit> <Limit ALL> Order Allow,Deny Allow 10.0.0.0/16 AllowGroup messier Deny ALL </Limit> </Directory> PS: der Server steht in einer DMZ Titel: Re: Hier ist die proftpd.conf Beitrag von: stonki am 22. November 2003, 10:39:00 Hallo,
ich bin mir nicht 100%, aber ich denke Deine Syntax ist falsch. Ich kann mir beim besten Willen nicht vorstellen, dass identische Limit Blocks mehrfach aufgefuehrt werden koennen. Code: <Limit STOR CWD READ DELE > [..] <Limit CWD READ DELE > Du muesstest diese blocke aufteilen <Limit CWD READ DELE> AllowGroup grp1 AllowGroup grp2 </limit> <Limit STOR> AllowGroup grp1 </Limit> cu stonki Titel: Syntax Beitrag von: oka am 23. November 2003, 00:45:54 Danke für die Info! :D
Wie schon gesagt, bin was Linux und ProFtpD angeht sehr unbedarft! :oops: (Typischer Windows Admin) Werde deine Tips am Montag testen! Eine frage hätte ich noch wie sollten die rechte auf die einzelnen Verzeichnisse ausshen? MFG Oliver Titel: Re: Syntax Beitrag von: stonki am 23. November 2003, 01:17:38 Zitat von: "oka" Danke für die Info! :D noch wie sollten die rechte auf die einzelnen Verzeichnisse ausshen? MFG Oliver mal ne praxis Antwort (Security wise eine Katastrophe): Alles auf chmod -R 777 * setzen und schauen das es geht, dann die rechte runterdrehen.. Aber: psss, das habe ich nicht gesagt :) cu stonki, der sich nun schaemt Titel: proftpd rechte? Beitrag von: oka am 25. November 2003, 17:07:22 Code: # This is a basic ProFTPD configuration file (rename it to # 'proftpd.conf' for actual use. It establishes a single server # and a single anonymous login. It assumes that you have a user/group # "nobody" and "ftp" for normal operation and anon. ServerName "WFL Transferserver" ServerType standalone DefaultServer on # Port 21 is the standard FTP port. Port 21 # Umask 022 is a good standard umask to prevent new dirs and files # from being group and world writable. umask 022 # To prevent DoS attacks, set the maximum number of child processes # to 30. If you need to allow more than 30 concurrent connections # at once, simply increase this value. Note that this ONLY works # in standalone mode, in inetd mode you should use an inetd server # that allows you to limit maximum number of processes per service # (such as xinetd). MaxInstances 30 # Set the user and group under which the server will run. User nobody Group nogroup # To cause every FTP user to be "jailed" (chrooted) into their home # directory, uncomment this line. DefaultRoot ~ # Normally, we want files to be overwriteable. <Directory /> AllowOverwrite on </Directory> <Directory /home/pub/COMDATA/To_COMDATA> <Limit CWD READ DELE > # AllowUser transfer # wird erlaubt AllowUser comdata # wird erlaubt </Limit> <Limit STOR > # Schreiben AllowGroup transfer # wird erlaubt </Limit> <Limit RMD MKD > # alles andere DenyAll # wird verboten </Limit> </Directory> <Directory /home/pub/COMDATA/To_ME> <Limit CWD READ DELE > # AllowUser transfer # wird erlaubt AllowUser comdata # wird erlaubt </Limit> <Limit STOR > # Schreiben AllowGroup comdata # wird erlaubt </Limit> <Limit RMD MKD > # alles andere DenyAll # wird verboten </Limit> </Directory> <Directory /home/pub/MESSIER/To_MESSIER> <Limit CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowUser transfer # wird erlaubt AllowUser messier # wird erlaubt </Limit> <Limit STOR > # Schreiben und Verzeichnis wechseln AllowUser transfer # wird erlaubt </Limit> <Limit RMD MKD > # alles andere DenyAll # wird verboten </Limit> </Directory> <Directory /home/pub/MESSIER/To_ME> <Limit CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowUser messier # wird erlaubt AllowUser transfer # wird erlaubt </Limit> <Limit STOR > # Schreiben und Verzeichnis wechseln AllowUser messier # wird erlaubt </Limit> <Limit RMD MKD > # alles andere DenyAll # wird verboten </Limit> </Directory> Habe heute das script wie oben ersichtlich geändert! Leider greifen nur die filerechte! Sobald ich 777 vergebe dürfen alle alles!!!! (Bis auf Verzeichnisse erstellen das Klappt!) Vielleicht faellt Dier "stonki" noch was dazu ein. Der Server steht in einer DMZ (Server hat eine private IP) und ist über NAT (auf der firewall) erreichbar! was mach ich falsch. :?: :?: :?: Die Verzeichnisse haben jeweil als "owner" den User der was speichern soll. Die Gruppen habe ich zusammengeführt auf eine einzelne und über alle Verzeichnisse gelegt! MFG Oliver Titel: proftpd rechte? Beitrag von: stonki am 25. November 2003, 17:52:04 Zitat von: "oka" Sobald ich 777 vergebe dürfen alle alles!!!! (Bis auf Verzeichnisse erstellen das Klappt!) Vielleicht faellt Dier "stonki" noch was dazu ein. was mach ich falsch. :?: :?: :?: So, Du musst nun sehr tapfer sein (kann natuerlich auch sein, dass ich mich total versehe, dann schulde ich Dir 3 Bier in Soho): WO bitte verbietest DU irgendetwas ? z.B: <Directory /home/pub/MESSIER/To_MESSIER> <Limit CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowUser transfer # wird erlaubt AllowUser messier # wird erlaubt </Limit> <Limit STOR > # Schreiben und Verzeichnis wechseln AllowUser transfer # wird erlaubt </Limit> <Limit RMD MKD > # alles andere DenyAll # wird verboten </Limit> </Directory> ok, MKD wird verboten und sonst ? ich wuerde daraus machen: <Directory /home/pub/MESSIER/To_MESSIER> <limit ALL> DenyALL </limit> <Limit CWD READ DELE > # Schreiben und Verzeichnis wechseln AllowUser transfer # wird erlaubt AllowUser messier # wird erlaubt </Limit> <Limit STOR > # Schreiben und Verzeichnis wechseln AllowUser transfer # wird erlaubt </Limit> </Directory> cu stonki Titel: proftpd rechte? Beitrag von: oka am 25. November 2003, 21:20:13 Zitat So, Du musst nun sehr tapfer sein (kann natuerlich auch sein, dass ich mich total versehe, dann schulde ich Dir 3 Bier in Soho): Bin tapfer und schulde dir nun 3 Bier. :idiot) Habe nun endlich verstanden! :sorry) Werde es gleich morgen ausprobieren! MFG Oliver :thx) PS: Nachtrag: Funktioniert leider auch nicht! :?? Jetzt sehe ich kein Verzeichniss mehr! (To_ME, etc.) Habe Dein Beispiel auch so gestalte das das DENY ALL ganz unten stand, leider auch nicht! :?? Titel: proftpd rechte? Beitrag von: stonki am 25. November 2003, 23:02:18 Zitat von: "oka" Jetzt sehe ich kein Verzeichniss mehr! (To_ME, etc.) ok, stimmt :) http://www.proftpd.de/index.php?id=28&language=&directive_name=limit&module_id= READ (alle lesenden Befehle, jedoch NICHT das Verzeichnis auflisten z.B. RETR, STAT) WRITE (alle schreibenden Befehle, wie löschen, erstellen, umbenennen) DIRS (alle Befehle, die mit dem auflisten eines Verzeichnisses zu tun haben, z.B. LIST, NLST) ALL (alle FTP Befehle, identisch mit READ WRITE DIR. Diese Gruppe hat die niedrigste Priorität) Titel: proftpd rechte? Beitrag von: oka am 25. November 2003, 23:25:35 Code: <Directory /home/pub/MESSIER/To_MESSIER> <Limit CWD READ DELE > # Schreiben und Verzeichnis wechseln Order Allow,Deny AllowUser transfer # wird erlaubt AllowUser messier # wird erlaubt DenyALL </Limit> <Limit STOR > # Schreiben und Verzeichnis wechseln Order Allow,Deny AllowUser transfer # wird erlaubt DenyALL </Limit> </Directory> So hab ich es geschafft! :spannend) Was sagst Du? Ist es Zufall oder ist der Syntax richtig! :?? MFG Oliver PS: Das mit dem Bier steht trotzdem!!! Titel: proftpd rechte? Beitrag von: stonki am 25. November 2003, 23:37:17 Zitat von: "oka" So hab ich es geschafft! :spannend) Was sagst Du? Ist es Zufall oder ist der Syntax richtig! :?? ich wuerde sagen RICHTIG :) |