www.ProFTPD.de

Moin ihrs :)

Ich habe bei mir auf debain-Server 2 User angelegt (System-User, welches wahrscheinlich der falsche Weg gewesen ist)

Jetzt möchte ich den einen User nur das uploaden erlauben, der andere User darf resumen, donwload, upload usw.
Gibt es dafür eine Anleitung, welche Konfig-Einträge ich wo ändern/wegnehmen/einfügen muß ?

Der User, der Eingeschränkt werden soll, nennt sich "dumperjob" und hat eigentlich nur eine Aufgabe : per Crontask wird auf verschiedene Domains der MySQL-Dumper gestartet, welcher den dump per FTP auf andere Server schieben kann....wenn jetzt dieser Account irgendwann mal geknackt wird, könnte der Angreifer doch (Dank des System-User mit shell) böse Sachen bei mir anstellen,- das Prob umgehe ich doch, wenn ich User erstelle, welche sich zwar am FTP, aber nicht am System anmelden können, oder ?
Wenn es wirklich eine so große Sicherheitslücke ist, bräuchte ich erstmal etwas hilfe beim erstellen der neuen User ohne gültige shell (löschen der alten wäre ja kein Prob ;) ).

Danke euch schonmal :)

So, das ganze hat sich jetzt durch eine Neuinstallation etwas geändert :

Ich habe nun 1 User für das interne Netzwerk (muß auch in andere Verzeichnisse können), dieser User muß schreib/lese/resume/Löschen-Rechte haben und 1 User (Dumperjob), welcher sich nicht am System, sondern nur am FTP einlogen darf, dieser User darf keine gültige shell haben und nur uploaden (ohne resume, löschen usw.) können.
Wie kann ich sowas am besten Konfigurieren ? System-User anlegen und den Dunperjob per MySQL-Auth anlegen ? Funktioniert das, wenn man beide Methoden gleichzeitig benutzt ?

es geht beides, aber bei einem zusätzlichen User ist mod_sql der nackte Overkill. Lege den einfach ohne shell im System an.

Ok, danke dir erstmal :)

Gibt es da irgendwelche Besonderheiten, die ich bei der Rechte-Vergabe beachten muß ? (1. User darf löschen/hochladen/runterladen usw. und 2. User darf nur Uploaden, kein Verzeichniss wechseln, kein löschen, kein Resume und sowas..bei diesem User müsste ich auch Quotas aktivieren ;) )

So, Server rennt jetzt mit 1 System-User und 2 User ohne Shell.....

Jetzt brauche ich etwas ganz spezielles :

Die 1. User ohne shell darf nur :

- uploaden
- downloaden
- resumen
- Verzeichniss auflisten
- Quota aktiv (damit mir noch Platz für System-Logs bleiben ;) )

Und soll zusätzlich in dem Login-Verzeichniss eingesperrt werden

Der 2. User ohne shell sollte so konfiguriert werden :

- Eingesperrt ins Login-Dir
- Upload
- keine weiteren Rechte
- Quota aktiv

Der 3. User mit shell bin ich,- da ist es egal, weil dieser User nur von einer ganz bestimmten IP und MAC-Adresse zugriff hat :)

Ist sowas ohne weitere Möglich ?

Moin,

ich kann nur dringend die Benutzung der Anweisung "DefaultRoot ~" empfehlen:
die "beamt" jeden User in sein Verzeichnis und "sperrt" ihn dort ein. (chroot)
Den Rest erledigst Du am besten über die normalen User/Gruppenrechte. sonst
kannst Du nur noch mit "<Limit...>"-Blöcken in der proftpd.conf arbeiten - aber
das ist generell für einzelne User nicht unbedingt zu empfehlen.

mfg.
  VolGas