Page 1 of 1
proftpd --> Verzeichnis schützen
Posted: 2003-05-29 17:33
by inswe.de
hi,
also erstma ein paar infos:
ich habe die verzeichnisstruktur:
user bekommen mit proftpd zugang zu
nun möchte ich nicht, dass die user ihre apache logs
in
löschen oder ändern können.
Das würde ja in der proftpd.conf möglich sein, wie z.b. mit
Code: Select all
<Directory ~/DOMAIN/logs>
<Limit WRITE>
DenyAll
</Limit>
</Directory>
ich möchte aber nun nich für jede domain diesen block einzeln anlegen müssen, sondern eher nen eintrag mit wildcards, doch leider funktioniert
nicht. Wie ist das realisierbar?
danke schonmal
Re: proftpd --> Verzeichnis schützen
Posted: 2003-05-29 21:06
by floschi
Hm, und wenn du auf der Shell die Rechte anders setzt?
Ich weiss ja ned genau, wie was bei dir läuft und aussieht, aber wenn der User nur LEserechte darin hat, die APachegruppe aber rw?
Re: proftpd --> Verzeichnis schützen
Posted: 2003-05-29 22:04
by inswe.de
hmm, das bringt es nicht.
die rechte der
sehen wie folgt aus:
Code: Select all
-rw-r--r-- 1 hs-10028 apache 319175 May 29 22:01 agent.log
-rw-r--r-- 1 hs-10028 apache 54573 May 29 21:20 error.log
-rw-r--r-- 1 hs-10028 apache 361961 May 29 22:01 referer.log
trotzdem können die USER per FTP diese dateien löschen, wenn keine dementsprechende "regel" in der proftpd dagegenspricht. also leg ich für jede domain mehrere limit blocks an.
Edit:
Ach, ich Idiot, is doch klar, wenn die Rechte dem USER gehören ;)
Also, die Rechte ders Verzeichnisses /logs auf apache.apache gesetzt, es funktioniert, die USER können die files zwar downloaden und somit betrachten, aber weder löschen noch ändern/umbenennen.
Danke
Re: proftpd --> Verzeichnis schützen
Posted: 2003-05-29 22:10
by inswe.de
hmm, ist da eigentlich ein unterschied zwischen
und
??
Re: proftpd --> Verzeichnis schützen
Posted: 2003-05-30 01:08
by floschi
Konnte ich bisher nicht feststellen ;)
Re: proftpd --> Verzeichnis schützen
Posted: 2003-05-30 01:35
by inswe.de
so, habs nun geregelt, das mit den verzeichnisrechten bringt nix...
ich habs so gemacht:
Code: Select all
#$DOMAINADD-START
<Directory ~/$DOMAINADD/htdocs/.stats>
<Limit WRITE>
DenyAll
</Limit>
</Directory>
<Directory ~/$DOMAINADD/htdocs/*>
<Limit RMD MKD RTFR RNTO STOR SITE_CHMOD DELE>
AllowAll
</Limit>
</Directory>
<Directory ~/$DOMAINADD/tmp/*>
<Limit RMD MKD RTFR RNTO STOR SITE_CHMOD DELE>
AllowAll
</Limit>
</Directory>
<Directory ~/$DOMAINADD/cgi-bin/*>
<Limit RMD MKD RTFR RNTO STOR SITE_CHMOD DELE>
AllowAll
</Limit>
</Directory>
#$DOMAINADD-STOP
zwar etwas dumm, für jede (sub-)domain so nen block in die /etc/proftpd.conf zu packen, aber egal.
Re: proftpd --> Verzeichnis schützen
Posted: 2007-06-25 11:25
by www1
inswe.de wrote:so, habs nun geregelt, das mit den verzeichnisrechten bringt nix...
ich habs so gemacht:
Code: Select all
#$DOMAINADD-START
<Directory ~/$DOMAINADD/htdocs/.stats>
<Limit WRITE>
DenyAll
</Limit>
</Directory>
<Directory ~/$DOMAINADD/htdocs/*>
<Limit RMD MKD RTFR RNTO STOR SITE_CHMOD DELE>
AllowAll
</Limit>
</Directory>
<Directory ~/$DOMAINADD/tmp/*>
<Limit RMD MKD RTFR RNTO STOR SITE_CHMOD DELE>
AllowAll
</Limit>
</Directory>
<Directory ~/$DOMAINADD/cgi-bin/*>
<Limit RMD MKD RTFR RNTO STOR SITE_CHMOD DELE>
AllowAll
</Limit>
</Directory>
#$DOMAINADD-STOP
zwar etwas dumm, für jede (sub-)domain so nen block in die /etc/proftpd.conf zu packen, aber egal.
Das ergibt keinen Sinn - denn htdocs selbst darf umbenannt werden!
Bei mir habe ich folgende Konstellation:
/var/www/<kundennummer>
uid: <kundennummer>
gid: ftpgroup
Es existiert das Verzeichnis (root.root) /logs, worin Webalizer nächtlich die Statistiken platziert. Selbst ein chmod +t an der Shell bringt nichts - die FTP-Benutzer dürfen /logs umbenennen und das nächtliche Script könnte fehlschlagen. Selbst das allgemeinverbindliche
<Directory ~logs>
<Limit WRITE>
DenyAll
</Limit>
</Directory>
bringt nichts, denn die dahinter stehenden Dateien sind gemeint.
Meine Frage ist also: Wie kann ein root.root gehörendes Verzeichnis vor umbenennen geschützt werden?
Re: proftpd --> Verzeichnis schützen
Posted: 2007-06-25 11:37
by www1
Ergänzung:
Das Script, wodurch ich den Kundenpfad erzeuge, sorgt dafür, dass im Kundenverzeichnis /logs angelegt und darin eine .htaccess generiert wird, die sodann root.root gehört. Durch chmod +t /logs ist zwar sichergestellt, dass das Verzeichnis nicht gelöscht werden darf - jedoch umbenannt. Das gilt es zu verhindern.
Re: proftpd --> Verzeichnis schützen
Posted: 2007-06-27 23:16
by www1
Yo,
PathDenyFilter "^logs$"
Funktioniert wunderbar, warum mir aber die Logs sagen ..."no such user 'logs'"... versteht ich nicht, denn MySQL-Auth läuft wunderbar. Alles unverändert.
Jemand eine Idee?
Re: proftpd --> Verzeichnis schützen
Posted: 2007-06-27 23:21
by www1
Yo mein Fehler,
seitdem ich
<Directory ~logs>
<Limit WRITE>
DenyAll
</Limit>
</Directory>
eingefügt hatte kam bereits diese Meldung, die ich schlicht übersehen hatte. Jetzt ist definitiv der Ordner vor umbenennen bzw. löschen geschützt. Das chmod +t werde ich trotzdem so belassen.