1
Vsftp: read-only (virtual) FTP user erstellen
Moin,
ich bräuchte bitte mal ein wenig kreativen Input ;)
Folgende Situation:
Ein Debian-Server bei uns hostet ein paar Webseiten, in die jew. Web-Verzeichnisse haben die User des Kunden umfänglichen FTP-Zugriff (für jedes Verzeichnis einen extra User). Benutzt wird dabei vsftp.
Nun möchte der Kunde einen externen Berater zur Analyse des Web-Codes hinzuziehen - hierfür soll ein "read-only" FTP-Zugang geschaffen werden.
Die vorhandenen Verzeichnisse / Dateien sollen dabei möglichst nicht angefasst werden, also keine file permissions oder Gruppenzugehörigkeit ändern o.ä.
Ich bin mir nicht ganz sicher, wie hier idealerweise vorgegangen wird..
In der zentralen Config des vsftp hat man ja zB die Möglichkeit, ein
zu setzen, aber das gilt dann natürlich global.
- Einen neuen (System)User bauen? Der könnte dann der Gruppe zugeordnet werden, die der bereits bestehende FTP-User hat, und man könnte anschließend mit
überall die Schreibrechte für die Gruppe ausschalten (der vorher vorhandene FTP-User könnte dann ja immer noch schreiben)
-> Nachteil: keine Ahnung, was damit rekursiv im gesamten Web-Verzeichnis angerichtet wird :D
Besser vielleicht:
- einen Virtual FTP User einsetzen?
Den könnte ich dann zumindest in das Web-Verzeichnis chrooten. Aber kann man das o.a.
dann in einer User-spezifischen Config anlegen, sodass es nur für ihn gilt?
Ist dieses dann "höherwertig" als evtl. vorhandene write-Rechte in den vorhandenen file permissions?
Und weiterhin: die read-Rechte würden dann ausschließlich von den file permissions für "other" bestimmt, korrekt?
Oder vielleicht hat jemand ja noch eine ganz andere Idee
ich bräuchte bitte mal ein wenig kreativen Input ;)
Folgende Situation:
Ein Debian-Server bei uns hostet ein paar Webseiten, in die jew. Web-Verzeichnisse haben die User des Kunden umfänglichen FTP-Zugriff (für jedes Verzeichnis einen extra User). Benutzt wird dabei vsftp.
Nun möchte der Kunde einen externen Berater zur Analyse des Web-Codes hinzuziehen - hierfür soll ein "read-only" FTP-Zugang geschaffen werden.
Die vorhandenen Verzeichnisse / Dateien sollen dabei möglichst nicht angefasst werden, also keine file permissions oder Gruppenzugehörigkeit ändern o.ä.
Ich bin mir nicht ganz sicher, wie hier idealerweise vorgegangen wird..
In der zentralen Config des vsftp hat man ja zB die Möglichkeit, ein
write_enable=NO- Einen neuen (System)User bauen? Der könnte dann der Gruppe zugeordnet werden, die der bereits bestehende FTP-User hat, und man könnte anschließend mit
chmod -R g-w /path/to/web-> Nachteil: keine Ahnung, was damit rekursiv im gesamten Web-Verzeichnis angerichtet wird :D
Besser vielleicht:
- einen Virtual FTP User einsetzen?
Den könnte ich dann zumindest in das Web-Verzeichnis chrooten. Aber kann man das o.a.
write_enable=NOIst dieses dann "höherwertig" als evtl. vorhandene write-Rechte in den vorhandenen file permissions?
Und weiterhin: die read-Rechte würden dann ausschließlich von den file permissions für "other" bestimmt, korrekt?
Oder vielleicht hat jemand ja noch eine ganz andere Idee
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1387505224
Url: https://administrator.de/contentid/1387505224
Printed on: April 26, 2024 at 03:04 o'clock
1 Comment
Erstelle einen virtuellen User den chrootest du dann in das ihm zugewiesene Verzeichnis. "Others" sollten ja generell nur Leserechte auf die Files haben, also vorher überprüfen. Zusätzlich sicherstellen das auf Dateien/Ordner in denen evt. Zugangsberechtigungen z.B. für Datenbanken stehen das Leserecht für "Others" entzogen wurde.
