1
Vsftp: read-only (virtual) FTP user erstellen
Moin,
ich bräuchte bitte mal ein wenig kreativen Input ;)
Folgende Situation:
Ein Debian-Server bei uns hostet ein paar Webseiten, in die jew. Web-Verzeichnisse haben die User des Kunden umfänglichen FTP-Zugriff (für jedes Verzeichnis einen extra User). Benutzt wird dabei vsftp.
Nun möchte der Kunde einen externen Berater zur Analyse des Web-Codes hinzuziehen - hierfür soll ein "read-only" FTP-Zugang geschaffen werden.
Die vorhandenen Verzeichnisse / Dateien sollen dabei möglichst nicht angefasst werden, also keine file permissions oder Gruppenzugehörigkeit ändern o.ä.
Ich bin mir nicht ganz sicher, wie hier idealerweise vorgegangen wird..
In der zentralen Config des vsftp hat man ja zB die Möglichkeit, ein
zu setzen, aber das gilt dann natürlich global.
- Einen neuen (System)User bauen? Der könnte dann der Gruppe zugeordnet werden, die der bereits bestehende FTP-User hat, und man könnte anschließend mit
überall die Schreibrechte für die Gruppe ausschalten (der vorher vorhandene FTP-User könnte dann ja immer noch schreiben)
-> Nachteil: keine Ahnung, was damit rekursiv im gesamten Web-Verzeichnis angerichtet wird :D
Besser vielleicht:
- einen Virtual FTP User einsetzen?
Den könnte ich dann zumindest in das Web-Verzeichnis chrooten. Aber kann man das o.a.
dann in einer User-spezifischen Config anlegen, sodass es nur für ihn gilt?
Ist dieses dann "höherwertig" als evtl. vorhandene write-Rechte in den vorhandenen file permissions?
Und weiterhin: die read-Rechte würden dann ausschließlich von den file permissions für "other" bestimmt, korrekt?
Oder vielleicht hat jemand ja noch eine ganz andere Idee
ich bräuchte bitte mal ein wenig kreativen Input ;)
Folgende Situation:
Ein Debian-Server bei uns hostet ein paar Webseiten, in die jew. Web-Verzeichnisse haben die User des Kunden umfänglichen FTP-Zugriff (für jedes Verzeichnis einen extra User). Benutzt wird dabei vsftp.
Nun möchte der Kunde einen externen Berater zur Analyse des Web-Codes hinzuziehen - hierfür soll ein "read-only" FTP-Zugang geschaffen werden.
Die vorhandenen Verzeichnisse / Dateien sollen dabei möglichst nicht angefasst werden, also keine file permissions oder Gruppenzugehörigkeit ändern o.ä.
Ich bin mir nicht ganz sicher, wie hier idealerweise vorgegangen wird..
In der zentralen Config des vsftp hat man ja zB die Möglichkeit, ein
write_enable=NO- Einen neuen (System)User bauen? Der könnte dann der Gruppe zugeordnet werden, die der bereits bestehende FTP-User hat, und man könnte anschließend mit
chmod -R g-w /path/to/web-> Nachteil: keine Ahnung, was damit rekursiv im gesamten Web-Verzeichnis angerichtet wird :D
Besser vielleicht:
- einen Virtual FTP User einsetzen?
Den könnte ich dann zumindest in das Web-Verzeichnis chrooten. Aber kann man das o.a.
write_enable=NOIst dieses dann "höherwertig" als evtl. vorhandene write-Rechte in den vorhandenen file permissions?
Und weiterhin: die read-Rechte würden dann ausschließlich von den file permissions für "other" bestimmt, korrekt?
Oder vielleicht hat jemand ja noch eine ganz andere Idee
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1387505224
Url: https://administrator.de/contentid/1387505224
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
1 Kommentar
Erstelle einen virtuellen User den chrootest du dann in das ihm zugewiesene Verzeichnis. "Others" sollten ja generell nur Leserechte auf die Files haben, also vorher überprüfen. Zusätzlich sicherstellen das auf Dateien/Ordner in denen evt. Zugangsberechtigungen z.B. für Datenbanken stehen das Leserecht für "Others" entzogen wurde.
