foto2004
Goto Top

ProFTPD Benutzer nur Schreibrechte zuweisen

Hallo Gemeinde,

ich versuche bei meinem proftp es so einzurichten dass ein besimmter User (uploaduser) nur schreibrechte auf ein Verzeichnis hat und sonnst nichts nicht einmal auflisten soll er können.

Das hier geht nicht:
<Directory /ftpdata/upload>
  <Limit WRITE>
    AllowUser uploaduser
    DenyAll
  </Limit>

  <Limit DELETE>
    DenyAll
  </Limit>

  DirectoryList off
</Directory>
ich habe da einige Varianten durch probiert aber keine geht. Ichdenke dass ich das ganze von der Falschen seite her angehe aber ich hab echt keine Ahnung von welcher.

Content-ID: 3719820020

Url: https://administrator.de/contentid/3719820020

Printed on: December 14, 2024 at 16:12 o'clock

8585040390
8585040390 Sep 26, 2023 at 11:48:52 (UTC)
Goto Top
7907292512
Solution 7907292512 Sep 26, 2023 updated at 13:01:18 (UTC)
Goto Top
<Directory /ftpdata/upload>
    <Limit ALL>
          DenyAll
    </Limit>
    <Limit STOR STOU PWD XPWD CWD XCWD CDUP XCUP>
        AllowUser uploaduser
        DenyAll
    </Limit>
</Directory>
Der User muss dann aber trotzdem noch mindestens Schreib- und Execute auf das Verzeichnis zugewiesen bekommen.

Ichdenke dass ich das ganze von der Falschen seite her angehe aber ich hab echt keine Ahnung von welcher.
You just need => RTFM
http://www.proftpd.org/docs/howto/Limit.html
Section:
Examples
Here are examples to help illustrate the use of <Limit>. First, a common configuration: an upload-only directory.


Gruß sid.
foto2004
foto2004 Sep 26, 2023 at 17:10:23 (UTC)
Goto Top
Dankeschön das war die Lösung.

eine Frage noch wen ich dieses Verzeichnis einem anderen User auch zur Verfügung stellen möchte mit allen Rechten? Muss ich da mit virtuellen usern oder virtuellen Verzeichnissen arbeiten? weil ein Symlink geht ja nicht.
7907292512
7907292512 Sep 26, 2023 at 19:28:06 (UTC)
Goto Top
Zitat von @foto2004:

Dankeschön das war die Lösung.

eine Frage noch wen ich dieses Verzeichnis einem anderen User auch zur Verfügung stellen möchte mit allen Rechten? Muss ich da mit virtuellen usern oder virtuellen Verzeichnissen arbeiten? weil ein Symlink geht ja nicht.

<Directory /ftpdata/upload>
    <Limit ALL>
          AllowUser FullAccessUser
          DenyAll
    </Limit>
    <Limit STOR STOU PWD XPWD CWD XCWD CDUP XCUP>
        AllowUser uploaduser
        AllowUser FullAccessUser
        DenyAll
    </Limit>
</Directory>
foto2004
foto2004 Sep 26, 2023 at 20:23:00 (UTC)
Goto Top
OK danke für die schnelle Hilfe.

nur zu meinem Verständnis ....


ich dachte bei dem Abschnitt
    <Limit ALL>
          AllowUser FullAccessUser
          DenyAll
    </Limit>

wird dem User schon alles erlaubt warum muss der auch noch bei
    <Limit STOR STOU PWD XPWD CWD XCWD CDUP XCUP>
        AllowUser uploaduser
        AllowUser FullAccessUser
        DenyAll
    </Limit>
mit rein? nur damit ich den Mechanismus verstehe.
7907292512
7907292512 Sep 27, 2023 updated at 06:05:22 (UTC)
Goto Top
Das steht doch in der Doku zu "Limit" ...🤔?!
http://www.proftpd.org/docs/howto/Limit.html

Es wird der Reihe nach abgearbeitet, erst wird alles für den User erlaubt, dann geht es aber weiter und im nächsten Limit-Satz wird auf einen Teil der Befehle eingeschränkt, aber auch hier muss dann der FullAccess User rein da ihm die Befehle sonst verboten werden wegen DenyAll. Die Regeln werden kumuliert von oben nach unten abgearbeitet, nicht wie bei einer Firewall bei der FirstMatchWins gilt und dann nicht weiter ausgewertet wird.
foto2004
foto2004 Sep 27, 2023 at 08:00:52 (UTC)
Goto Top
Verstehe ich das richtig dass das <Limit STOR STOU PWD XPWD CWD XCWD CDUP XCUP> explizit diese Befehle meint und eben die user rein müssen die das dürfen mit AllowUser und danach eben das DenyAll wieder alles zumacht?

Ich tu mir leider etwas schwer mit der Doku, darum noch mal meine Nachfrage. Aber danke für die gute Erklärung.
7907292512
7907292512 Sep 27, 2023 at 08:09:06 (UTC)
Goto Top
Zitat von @foto2004:

Verstehe ich das richtig dass das <Limit STOR STOU PWD XPWD CWD XCWD CDUP XCUP> explizit diese Befehle meint
Korrekt!
und eben die user rein müssen die das dürfen mit AllowUser und danach eben das DenyAll wieder alles zumacht?
Jepp.