VSFTPD: Benutzer soll auf unterschiedliche Bereiche zugriff haben

K

knumskull

Foren As
Hallo,

ich habe VSFTPD auf nem betagten suse9.3 laufen. klappt soweit auch alles. Allerdings weiß ich gerade nicht mehr weiter.

Was ich vorhabe:
die FTP-Struktur ist wie folgt:

/ftp-dir/
. /-ftp-user
. /-projekte

Jetzt soll ein Benutzer aus dem Verzeichnis ftp-user Zugriff auf ein Verzeichnis in projekte haben. Lösen wollte ich das ganze mittels eines Links innerhalb des HOME-dirs. Wenn der Benutzer mittels CHROOT-einstellung auf sein Verzeichnis gesperrt wird, kann ich ja nicht auf ein anderes kommen. Wenn ich die CHROOT-sperre löse, kann er ja im gesamten System rumforschen. Das möchte man ja nicht haben.
Habe auch schon versucht, das ganze über Berechtigungen zu machen. Das klappt so aber auch nicht.
Also im Detail habe ich /ftp-dir auf 700 gestellt, aber dann kommt man ja auf keines der Verzeichnisse. Da kommt schon beim Login ein Fehler, das man auf das Verzeichnis nicht zugreifen kann.

Hat irgendwer eine Idee, wie ich dieses Problem lösen kann. Stehe derzeit ein bisschen auf dem Schlauch.

Gruß
Steffen
 
Hi.

Jetzt soll ein Benutzer aus dem Verzeichnis ftp-user Zugriff auf ein Verzeichnis in projekte haben. Lösen wollte ich das ganze mittels eines Links innerhalb des HOME-dirs. Wenn der Benutzer mittels CHROOT-einstellung auf sein Verzeichnis gesperrt wird, kann ich ja nicht auf ein anderes kommen. Wenn ich die CHROOT-sperre löse, kann er ja im gesamten System rumforschen.

Nein, kann er nicht.


sag vsftpd Das /$ftpverzeichnis sein Verzeichnis ist, ohne den chroot-Kram.
In das Verzeichnis koennen z.B. nur Leute der Gruppe ftpuser zugreifen.
alle Unterverzeichnisse kannst du z.B. mit ACLs abfackeln.
 
Nein, kann er nicht.

hm ... wie nein? Aber man kann doch im kompletten system rumklicken.

sag vsftpd Das /$ftpverzeichnis sein Verzeichnis ist, ohne den chroot-Kram.
In das Verzeichnis koennen z.B. nur Leute der Gruppe ftpuser zugreifen.
alle Unterverzeichnisse kannst du z.B. mit ACLs abfackeln.

Das verstehe ich gerade noch nicht so richtig.
Also in der vsftpd.conf setze ich quasi /ftp-dir als root-verzeichnis für den FTP. Soweit so gut. Aber was meinst du mit ACL?
 
hm ... wie nein? Aber man kann doch im kompletten system rumklicken.

Wenn du /$ftpdir als FTP-Verzeichnis setzt und alle Leute die z.B. in der Gruppe ftpuser sich dort einloggen haben sie a) nur Rechte auf das vom FTP-Server freigegebene Verzeichnis und b) Linuxseitig nur Rechte auf das Verzeichnis (ftpverzeichnis) auf das ihre Gruppe (ftpuser) Zugriff hat.
Waehre ja nicht so gut wenn $anonymous zugriff auf / haette oder?

Das verstehe ich gerade noch nicht so richtig.
Also in der vsftpd.conf setze ich quasi /ftp-dir als root-verzeichnis für den FTP. Soweit so gut. Aber was meinst du mit ACL?

man acl
oder hier (der erstbeste Google-Link):
http://www.suse.de/~agruen/acl/linux-acls/online/
 
Waehre ja nicht so gut wenn $anonymous zugriff auf / haette oder?

Wäre es in der Tat nicht :)
Wusste gar nicht das des Rechtesystem ACL heißt ;) ... aber jetzt wo man es sieht, erscheint mir alles sehr logisch. Danke dir. Ich werde es versuchen.
 
ich habe es jetzt nochmal versucht, aber irgendwie komme ich nicht zu dem Ergebnis wo ich hinwill.

Also im allgemeinen haben die Benutzer ein einziges Home. In dem sollen sie gefangen bleiben. Dann gibt es aber einige Benutzer, die die den Zugriff auf mehrere Verzeichnisse, welche aber nicht mehr im Bereich UserHome liegen.

Eingesetzt wird VSFTPD
Folgende Struktur liegt zu Grunde
/ftp-dir/
. /-ftp-user
. /-projekte

Es gibt 2 verschiedene Arten von Benutzern.
Einmal allgemeine, die haben ihr Home im ftp-user-Verzeichnis und können je nach bedarf zugriff auf ein Verzeichnis in projekte haben.
Dann gibt es noch Projekt-benutzer, diese sind in einem Projekte-ordner gefangen.

zweiteres ist ja kein Problem, allerdings weiß ich nicht so recht, wie ich den ersten Benutzer dazu bewegen kann, das er zusätzlich zu seine "Sperre" auch noch in ein zweites Verzeichnis wechseln kann. Wenn ich die chroot-Spree rausnehme, kann er bis aufs root vom OS und dann dort wild navigieren. Das möchte ich so nicht haben. (Wer will das schon)

grüße
 
Hi,

also entweder nimmst Du den ProFTPD-Server, oder Du realisierst das ganze über "mount --bind" in den Homeverzeichnissen selbst.
Der einfachste Weg ist über mount --bind

Gruß
W.
 
Zurück
Oben