[debian] www-data als ftp-user gebruiken

Ik heb mijn eigen webserver (apache2) draaien op Debian Sarge. Proftpd gebruik ik als ftp-server icm met mysql om gebruikers aan te maken. Op mijn server draaien nu ook wat websites van anderen. Ik wil nu dat die mensen via ftp bij hun webruimte kunnen komen. Proftpd draait nu nog als gebruiker ftpuser en groep ftpgroup, maar als mensen dan iets op hun website plaatsen, kan het niet door de webserver worden gelezen of de rechten moeten helemaal open worden gezet.

Is het een veiligheidsrisico als ik www-data gebruik als user en group voor proftpd, zodat alle gebruikers die ik via proftpd-mysql aanmaak onder die user/group hun bestanden op de server plaatsen? Of zijn hier misschien nog andere slimme oplossingen voor?

[ Voor 5% gewijzigd door Verwijderd op 22-02-2006 09:15 . Reden: Vraag toegevoegd ]

Verwijderd schreef op woensdag 22 februari 2006 @ 10:21:
adduser --home /home/domains/'account.nl'/ --ingroup www-data 'username'
chown -R 'username' /home/domains/'account.nl'/

Dus niet www-data als user gebruiken voor ftp, maar wel de ftp-user in www-data groep opnemen? Dan moeten alle gebruikers wel hun groepsrechten ook open zetten. Is dat standaard/normaal?

Verwijderd schreef op woensdag 22 februari 2006 @ 10:40:
gewoon user aanmaken in de group www-data (voor apache) en chowen om de user aan een dir te koppelen (voor proftp)

Op die manier kan de user alleen in zijn dir ftp-en

Maar dan hebben dus alle users die via ftp bij hun website kunnen dus dezelfde user en group. Kan ik dan niet beter gewoon www-data als ftp-user gebruiken. Dan hoeven ze ook niet de rechten voor de group open te zetten (zodat www-data er altijd goed bij kan). Of is dit een te groot veiligheidsrisico?

Verwijderd schreef op woensdag 22 februari 2006 @ 11:01:
Tuurlijk wel voor elke user een aparte username aanmaken

pietje:
adduser --home /home/domains/pietje.nl/ --ingroup www-data pietje
chown -R pietje /home/domains/pietje.nl/

jan:
adduser --home /home/domains/jan.nl/ --ingroup www-data jan
chown -R jan /home/domains/jan.nl/

Maar dat wil ik dus liever niet. Ik heb proftpd-mysql geinstalleerd zodat ik niet allemaal aparte systeemusers hoef aan te maken, maar dat er alleen virtuele gebruikers zijn die via een ftp-gebruiker bij hun bestanden kunnen.

OlafvdSpek schreef op woensdag 22 februari 2006 @ 19:26:
[...]

Waarom niet?
Die bestanden kun je toch gewoon standaard world-readable maken?

Dus gewoon alles chmod -R 777, ik heb er niet veel verstand van hoor, maar waarom raad men in installatiehandleidingen van cms-en e.d. altijd aan om de rechten op 755 oid te zetten en niet alles 777?

OlafvdSpek schreef op woensdag 22 februari 2006 @ 23:53:
[...]

Nee. World-readable/executable is xx5. xx7 is ook world-writable en dat is niet de bedoeling.

Ja sorry, ik had weer even niet goed nagedacht.