www.ProFTPD.de

Huhu *,

mir ist das Rechtesystem ein klein wenig schleierhaft ;)
Gehe ich recht in der Annahme, daß in erster Linie die UID/GID des Proftpd Benutzers, nicht die des Deamons selber, welche in der proftpd.conf durch

festgelegt wird, Schreibrechte auf ein Verzeichnis bzw. eine Datei haben muss, und ich diese Rechte dann durch die <Directory> Direktive einschränken kann?

Ich benutze folgende Direktiven

Und habe dort drei Benutzer und drei Gruppen definiert:


Dazu folgende Verzeichnisstruktur:

Wenn ich nun möchte, daß Zeus überall alle Rechte hat, Herakles nur im Unterordner nachrichten und darunter dann Herakles nur im Ordner upload was verändern darf (hochladen, löschen), wie realisiere ich das in proftpd?

Eine Möglichkeit ist natürlich mit umask 002 den Usern der gleichen Gruppe erlauben die Dateien zu ändern, sprich ich füge Zeus allen Gruppen hinzu, und Herakles dann noch der Gruppe ftpuser. Und dann setze ich die Rechte der Ordner folgendermassen:


Doch würde das auch mit <Directory> und AllowGroup Direktiven gehen?

Oder wären .ftpaccess Dateien die richtige Wahl? Wie müssen dann die Rechte der Verzeichnisse aussehen?

Der ProFTPD läuft zunächst unter den in der proftpd.conf definierten Rechten.
Loggt sich jemand ein, so wird der Server kurzfristig zum root-User, um dann einen
neuen Prozess mit der UID/GID des einloggenden Users abzuspalten, der diesem dann
fest zugeordnet wird. (Oder so ähnlich...)

Der laufende Prozess "gehört" also dem User und hat auch die selbe UID/GID,
die dem User selbst zugewiesen wurde und damit auch die selben Möglichkeiten und Beschränkungen.

Darüber hinaus kann man natürlich mit "Directory" und "Limit" Direktiven noch etwas
Fein-Tuning betreiben, aber die Systemrechte bilden die Basis lassen sich nicht aushebeln.

Es ist also ganz Deiner Intelligenz und Phantasie überlassen, wie Du Deine Zugriffsrechte setzt...

mfg.
  VolGas