proftpd --> Verzeichnis schützen

[inswe.de]

hi,

also erstma ein paar infos:

ich habe die verzeichnisstruktur:

Code: Select all

/www/USER/DOMAIN/logs

user bekommen mit proftpd zugang zu

Code: Select all

/www/USER

nun möchte ich nicht, dass die user ihre apache logs
in

Code: Select all

/www/USER/DOMAIN/logs

löschen oder ändern können.

Das würde ja in der proftpd.conf möglich sein, wie z.b. mit

Code: Select all

<Directory ~/DOMAIN/logs>

 <Limit WRITE>
 DenyAll
 </Limit>

 </Directory>

ich möchte aber nun nich für jede domain diesen block einzeln anlegen müssen, sondern eher nen eintrag mit wildcards, doch leider funktioniert

Code: Select all

<Directory ~/*/logs>

nicht. Wie ist das realisierbar?

danke schonmal

[floschi]

Hm, und wenn du auf der Shell die Rechte anders setzt?

Ich weiss ja ned genau, wie was bei dir läuft und aussieht, aber wenn der User nur LEserechte darin hat, die APachegruppe aber rw?

[inswe.de]

hmm, das bringt es nicht.

die rechte der

Code: Select all

/www/USER/DOMAIN/logs/*.log

sehen wie folgt aus:

Code: Select all

-rw-r--r--    1 hs-10028 apache     319175 May 29 22:01 agent.log
-rw-r--r--    1 hs-10028 apache      54573 May 29 21:20 error.log
-rw-r--r--    1 hs-10028 apache     361961 May 29 22:01 referer.log

trotzdem können die USER per FTP diese dateien löschen, wenn keine dementsprechende "regel" in der proftpd dagegenspricht. also leg ich für jede domain mehrere limit blocks an.

Edit:

Ach, ich Idiot, is doch klar, wenn die Rechte dem USER gehören ;)
Also, die Rechte ders Verzeichnisses /logs auf apache.apache gesetzt, es funktioniert, die USER können die files zwar downloaden und somit betrachten, aber weder löschen noch ändern/umbenennen.

Danke

[inswe.de]

hmm, ist da eigentlich ein unterschied zwischen

Code: Select all

chown apache.apache /DIR

und

Code: Select all

chown apache:apache /DIR

??

[floschi]

Konnte ich bisher nicht feststellen ;)

[inswe.de]

so, habs nun geregelt, das mit den verzeichnisrechten bringt nix...
ich habs so gemacht:

Code: Select all

#$DOMAINADD-START
<Directory ~/$DOMAINADD/htdocs/.stats>
 <Limit WRITE>
 DenyAll
 </Limit>
 </Directory>
<Directory ~/$DOMAINADD/htdocs/*>
 <Limit RMD MKD RTFR RNTO STOR SITE_CHMOD DELE>
 AllowAll
 </Limit>
 </Directory>
<Directory ~/$DOMAINADD/tmp/*>
 <Limit RMD MKD RTFR RNTO STOR SITE_CHMOD DELE>
 AllowAll
 </Limit>
 </Directory>
<Directory ~/$DOMAINADD/cgi-bin/*>
 <Limit RMD MKD RTFR RNTO STOR SITE_CHMOD DELE>
 AllowAll
 </Limit>
 </Directory>
#$DOMAINADD-STOP

zwar etwas dumm, für jede (sub-)domain so nen block in die /etc/proftpd.conf zu packen, aber egal.

[www1]

so, habs nun geregelt, das mit den verzeichnisrechten bringt nix...
ich habs so gemacht:

Code: Select all

#$DOMAINADD-START
<Directory ~/$DOMAINADD/htdocs/.stats>
 <Limit WRITE>
 DenyAll
 </Limit>
 </Directory>
<Directory ~/$DOMAINADD/htdocs/*>
 <Limit RMD MKD RTFR RNTO STOR SITE_CHMOD DELE>
 AllowAll
 </Limit>
 </Directory>
<Directory ~/$DOMAINADD/tmp/*>
 <Limit RMD MKD RTFR RNTO STOR SITE_CHMOD DELE>
 AllowAll
 </Limit>
 </Directory>
<Directory ~/$DOMAINADD/cgi-bin/*>
 <Limit RMD MKD RTFR RNTO STOR SITE_CHMOD DELE>
 AllowAll
 </Limit>
 </Directory>
#$DOMAINADD-STOP

zwar etwas dumm, für jede (sub-)domain so nen block in die /etc/proftpd.conf zu packen, aber egal.

Das ergibt keinen Sinn - denn htdocs selbst darf umbenannt werden!

Bei mir habe ich folgende Konstellation:

/var/www/<kundennummer>

uid: <kundennummer>
gid: ftpgroup

Es existiert das Verzeichnis (root.root) /logs, worin Webalizer nächtlich die Statistiken platziert. Selbst ein chmod +t an der Shell bringt nichts - die FTP-Benutzer dürfen /logs umbenennen und das nächtliche Script könnte fehlschlagen. Selbst das allgemeinverbindliche

<Directory ~logs>
<Limit WRITE>
DenyAll
</Limit>
</Directory>

bringt nichts, denn die dahinter stehenden Dateien sind gemeint.

Meine Frage ist also: Wie kann ein root.root gehörendes Verzeichnis vor umbenennen geschützt werden?

[www1]

Ergänzung:
Das Script, wodurch ich den Kundenpfad erzeuge, sorgt dafür, dass im Kundenverzeichnis /logs angelegt und darin eine .htaccess generiert wird, die sodann root.root gehört. Durch chmod +t /logs ist zwar sichergestellt, dass das Verzeichnis nicht gelöscht werden darf - jedoch umbenannt. Das gilt es zu verhindern.

[www1]

Yo,

PathDenyFilter "^logs$"

Funktioniert wunderbar, warum mir aber die Logs sagen ..."no such user 'logs'"... versteht ich nicht, denn MySQL-Auth läuft wunderbar. Alles unverändert.

Jemand eine Idee?

[www1]

Yo mein Fehler,

seitdem ich

<Directory ~logs>
<Limit WRITE>
DenyAll
</Limit>
</Directory>

eingefügt hatte kam bereits diese Meldung, die ich schlicht übersehen hatte. Jetzt ist definitiv der Ordner vor umbenennen bzw. löschen geschützt. Das chmod +t werde ich trotzdem so belassen.