Neuer Systemuser hat Zugriff aufs komplette Verzeichnis!

Bash, Shell, PHP, Python, Perl, CGI
kolibri
Posts: 32
Joined: 2006-09-06 17:08

Neuer Systemuser hat Zugriff aufs komplette Verzeichnis!

Post by kolibri »

Hallo zusammen..

ich habe mir ein Perl-Script gebastelt, welches automatisch FTP user anlegt.

Diese User sollen in einem Unterverzeichnis der Domain wiederum ein eigenes Verzeichnis bekommen und NUR auf dieses Zugriff halten..

versuche dies im Moment über folgenden Befehl:

Code: Select all

$befehl='useradd -k /home/httpd/vhosts/domain.de/skel -d /home/httpd/vhosts/domain.de/httpdocs/domains/'.$root.' -m -g psaserv -p '.$pass.' '.$sysname;
$resultat=0xff & system $befehl;
$root ist dabei der name des anzulegenden Verzeichnisses des Users
$pass ist das md5 verschlüsselte passwort
$sysname ist der loginname des users

Der Systemuser wird auch brav angelegt, aber er hat VOLLEN Zugriff auf das komplette Domainverzeichnis, obwohl ich ihm per Flag -d sein Verzeichnis zugewiesen habe..

Bereits beim FTP-Login landet der User direkt im Hauptverzeichnis der Domain, nicht im zugewiesenen Unterverzeichnis.. wo liegt das Problem?

Muss ich wirklich für JEDEN neuen FTP-User ein komplettes Homedir einrichten? Ist das überhaupt nicht möglich, daß der User "nur" ein Unterverzeichnis bekommt, ohne Zugriff auf die anderen Verzeichnisse zu erlangen?

Oder liegts am Rechtesystem? Muss ich für diese User eine spezielle Gruppe anlegen? Im Moment erhalten die User die standardgruppe psaserv
Roger Wilco
Posts: 5923
Joined: 2004-05-23 12:53

Re: Neuer Systemuser hat Zugriff aufs komplette Verzeichnis!

Post by Roger Wilco »

Mit ProFTP würdest du das mit der DefaultRoot-Direktive lösen.
kolibri
Posts: 32
Joined: 2006-09-06 17:08

Re: Neuer Systemuser hat Zugriff aufs komplette Verzeichnis!

Post by kolibri »

Roger Wilco wrote:Mit ProFTP würdest du das mit der DefaultRoot-Direktive lösen.
dank dir für den tip.. werd mich reinlesen.. :)
kolibri
Posts: 32
Joined: 2006-09-06 17:08

Re: Neuer Systemuser hat Zugriff aufs komplette Verzeichnis!

Post by kolibri »

auszug:
The specified root directory must begin with a / or can be the magic character '~'; meaning that the client is chroot jailed into their home directory.
meine Direktive wird wie folgt angegeben:

Code: Select all

DefaultRoot     ~               psacln
also müsste doch eigentlich der User von Haus aus sein Verzeichnis nicht verlassen können??? oder sehe ich das falsch?


kann er aber!
hab jetzt mal nur zum test einen user mit homedir direkt im /home/httpd/vhosts angelegt, auch da ists das selbe! er kann sein homedir bis zum root verlassen :(
cat
Posts: 96
Joined: 2002-09-14 20:57
Location: unterwegs-im.net ;)

Re: Neuer Systemuser hat Zugriff aufs komplette Verzeichnis!

Post by cat »

hi,

sind die User denn auch Member der Group "psacln"?

greetz
Cat
kolibri
Posts: 32
Joined: 2006-09-06 17:08

Re: Neuer Systemuser hat Zugriff aufs komplette Verzeichnis!

Post by kolibri »

Cat wrote:hi,

sind die User denn auch Member der Group "psacln"?

greetz
Cat
*lach* danke.. manchmal sieht man den wald vor lauter bäumen net...
hab den user ohne -g flag angelegt und einfach mal damit gerechnet, daß er die standardgruppe psacln mit anlegt.. :)

das wars.. änderung mit usermod -g psacln hats gebracht..

thx
kolibri
Posts: 32
Joined: 2006-09-06 17:08

Re: Neuer Systemuser hat Zugriff aufs komplette Verzeichnis!

Post by kolibri »

also so langsam dreh ich echt am rad!!

Code: Select all

useradd -g psacln -d /home/httpd/vhosts/testdomains/OVVWSJYK5 -m -p $1$60490717$4FogNLDi.F6tCNKWwf06u/ testuser2
ergibt einen account, der ganz andere zugriffsrechte hat!!!
habe extra das verzeichnis "testdomains" im /home des servers angelegt, der user bekommt aber bei ftp-login direkt das root-verzeichnis der hauptdomain zu sehen! das ist aber per -d flag nicht mal ansatzweise festgehalten.

hab die o.g. zeile einfach mal per ssh ausgeführt, so daß keine stören scripts zwischenliegen.

also entweder spinn ich, oder irgendwas läuft grundsätzlich falsch! :(
kolibri
Posts: 32
Joined: 2006-09-06 17:08

Re: Neuer Systemuser hat Zugriff aufs komplette Verzeichnis!

Post by kolibri »

was mir noch aufgefallen ist:

üblicherweise bekommen die FTP-user zugriff auf den server, auch wenn ich einen anderen host angebe, also der eigentlich garnichts mit dem home-verzeichnis des users zu tun hat. der user landet automatisch halt in seinem home verzeichnis..

bei den von hand angelegten usern bekomme ich NUR über die dementsprechende domain zugriff! NICHT bei angabe eines anderen hosts..

was ist daran anders???
lucki2
Posts: 427
Joined: 2006-10-03 01:31

Re: Neuer Systemuser hat Zugriff aufs komplette Verzeichnis!

Post by lucki2 »

1.

Code: Select all

useradd  -m -g psacln -s /bin/false -d /home/httpd/vhosts/testdomains/$testuser $testuser
tut was es soll.
2.
Muss ich wirklich für JEDEN neuen FTP-User ein komplettes Homedir einrichten? Ist das überhaupt nicht möglich, daß der User "nur" ein Unterverzeichnis bekommt, ohne Zugriff auf die anderen Verzeichnisse zu erlangen?
Nö.Doch.
.
http://www.castaglia.org/proftpd/doc/co ... Users.html
vielleicht ist das was für Dich:
http://www.castaglia.org/proftpd/contrib/ftpasswd
NUR über die dementsprechende domain zugriff
Wenn Du das so konfigurierst schon.

Btw. gut, daß ich weiß, was Du vorhast...
Mir ging das mit diesem Ding ungefähr so:
1. Welcher FTPD? hmmm
2. Was für eine Passworddatei(ich war da noch auf wu-ftpd - sorry)?
3. Welches OS - hmm.
4. Warum will der Systemuser anlegen? Na gut will er eben.
5. Was macht der den da mit dem Perl - wird wohl ein Auszug sein
6. Wie? Was stimmt mit den Rechten nicht?
...