FTP - 1 user op meerdere mappen - Linux en overige clients

donderdag 9 februari 2012 13:56

Acties:

0 Henk 'm!

Topicstarter

Is het mogelijk om met een FTP Server (in mijn geval vsftpd) één gebruiker op meerdere mappen toegang te geven? Ik wil dit gaan gebruiken voor een development server waarbij ik FTP users toegang tot bepaalde projecten wil geven (niet per project een aparte login).

Ik dacht zelf om bijvoorbeeld een folder te maken waarin alle projecten komen te staan (/home/sites/). Dit als Home Directory voor elke user in te stellen en dat ze hier standaard in terecht komen.

Als ik nu 3 mappen aanmaak: test1, test2, test3 mag ik in alle mappen standaard.
Kan ik het ook zo regelen dat ik dus elke FTP gebruiker zelf toe ken aan een project, dat ik bijvoorbeeld de user "paul" alleen maar toegang geef op "test1" en "test3" en dat ik het liefst dan ook alleen maar die mappen zie?

Of indien iemand een andere oplossing hiervoor heeft hoor ik het natuurlijk ook graag.

Ik heb al geprobeerd met rechten te kloten (toevoegen aan een groep), maar dan kom je alsnog gewoon in alle mappen (lijkt niet echt te werken dus).

donderdag 9 februari 2012 14:03

Acties:

0 Henk 'm!

hellknight

Medieval Nerd

ik ben niet bekend met vsftpd, maar heb zelf een servertje draaien met filezilla server, met daarin per gebruiker 1 map waar alleen die gebruiker (en ikzelf) toegang toe heeft, en 1 algemene map waar alle gebruikers toegang toe hebben. De gebruikers zien ook enkel hun eigen, en de algemene map. Is dus prima mogelijk

Your lack of planning is not my emergency

donderdag 9 februari 2012 14:16

Acties:

0 Henk 'm!

PaulEm

Topicstarter

hellknight schreef op donderdag 09 februari 2012 @ 14:03:
ik ben niet bekend met vsftpd, maar heb zelf een servertje draaien met filezilla server, met daarin per gebruiker 1 map waar alleen die gebruiker (en ikzelf) toegang toe heeft, en 1 algemene map waar alle gebruikers toegang toe hebben. De gebruikers zien ook enkel hun eigen, en de algemene map. Is dus prima mogelijk

Dat is niet helemaal wat ik bedoel.

Ik wil eigenlijk het volgende:

Twee gebruikers: jan, piet
Drie projecten: site1, site2, site3

Nu wil ik dat jan bij site1 en site2 kan komen (niet bij site3) en dat piet bij site2 en site3 kan komen (niet bij site1)

donderdag 9 februari 2012 14:22

Acties:

0 Henk 'm!

RemcoDelft

PaulEm schreef op donderdag 09 februari 2012 @ 13:56:
Ik heb al geprobeerd met rechten te kloten (toevoegen aan een groep), maar dan kom je alsnog gewoon in alle mappen (lijkt niet echt te werken dus).

Dan doe je toch iets fout...

Maak 3 groups aan:
-site1
-site2
-site3
Zet Jan in group site1 en site2, zet Piet in group site1, site2 en site3.
/home/sites/site1 geef je dan owner paul, group site1, met permissies 770.

Het enige waar je dan nog rekening mee moet houden is dat als Piet een file plaatst in site1, die file alsnog owner Piet krijgt met waarschijnlijk standaard-permissie 755 waardoor Jan die file alsnog niet kan wijzigen. Hier moet je even op zoeken, of desnoods een cronjobje maken wat elke paar minuten die permissies goedzet.

donderdag 9 februari 2012 14:23

Acties:

0 Henk 'm!

leuk_he

1. Controleer de kabel!

vsfpt, dus unix. en je kunt per group rechten toekennen aan een directory en/of file

http://www.udel.edu/topics/os/unix/general/unixgroups.html

Paar tips:
-1 user kan in meerdere groepen zitten.
-Je kunt een "s" bit op een direcotry zetten, dan worden de files van de direcoty eigenaar ipv de gebruiker die schrijft.
-Je kunt zelfs meerdere groepen op een directory zetten (zoeken op setfacl)

RemcoDelft schreef op donderdag 09 februari 2012 @ 14:22:
Het enige waar je dan nog rekening mee moet houden is dat als Piet een file plaatst in site1, die file alsnog owner Piet krijgt met waarschijnlijk standaard-permissie 755 waardoor Jan die file alsnog niet kan wijzigen. Hier moet je even op zoeken, of desnoods een cronjobje maken wat elke paar minuten die permissies goedzet.

s bit op directory. cronoplossing is beheer nachtmerrie.. andere zoekterm: umask

[ Voor 39% gewijzigd door leuk_he op 09-02-2012 14:25 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 9 februari 2012 14:27

Acties:

0 Henk 'm!

X-DraGoN

Kun je niet gewoon sym-links maken?
Laat je users in 1 folder inloggen, bv. home1 en maak daar verschillende sym links naar die maps waar hij/zij toegang moeten hebben en regel de map toegang op map niveau.

donderdag 9 februari 2012 15:12

Acties:

0 Henk 'm!

PaulEm

Topicstarter

RemcoDelft schreef op donderdag 09 februari 2012 @ 14:22:
[...]

Dan doe je toch iets fout...

Maak 3 groups aan:
-site1
-site2
-site3
Zet Jan in group site1 en site2, zet Piet in group site1, site2 en site3.
/home/sites/site1 geef je dan owner paul, group site1, met permissies 770.

Het enige waar je dan nog rekening mee moet houden is dat als Piet een file plaatst in site1, die file alsnog owner Piet krijgt met waarschijnlijk standaard-permissie 755 waardoor Jan die file alsnog niet kan wijzigen. Hier moet je even op zoeken, of desnoods een cronjobje maken wat elke paar minuten die permissies goedzet.

Zodra ik thuis ben ga ik dit nogmaals even proberen.

Wat alleen hierbij dus wel het geval is dat zowel Jan als Piet site1, site2 en site3 zien, en niet alleen de projecten waar ze aan toegevoegd zijn toch?

donderdag 9 februari 2012 15:24

Acties:

0 Henk 'm!

RemcoDelft

PaulEm schreef op donderdag 09 februari 2012 @ 15:12:
[...]
Zodra ik thuis ben ga ik dit nogmaals even proberen.

Wat alleen hierbij dus wel het geval is dat zowel Jan als Piet site1, site2 en site3 zien, en niet alleen de projecten waar ze aan toegevoegd zijn toch?

Klopt, maar ze kunnen er dan niet bij.

donderdag 9 februari 2012 20:10

Acties:

0 Henk 'm!

PaulEm

Topicstarter

Goed, ik ben weer aan de slag gegaan. Rechten staan op dit moment als volgt:

code:

root@webserver:/home/sites# ls -la
total 20
drwxr-xr-x 5 root root  4096 2012-02-09 11:55 .
drwxr-xr-x 5 root root  4096 2012-02-09 11:41 ..
drwxr-s--- 2 root site1 4096 2012-02-09 12:05 site1
drwxr-s--- 2 root site2 4096 2012-02-09 11:58 site2
drwxr-s--- 2 root site3 4096 2012-02-09 11:58 site3

Heb dus elke folder aan hun eigen groep toegevoegd. Als ik nu inlog op mijn FTP account zie ik de 3 mappen site1, site2, site3 maar dat kon helaas niet anders. Tot geen van alle mappen heb ik toegang omdat ik R en X voor "Others" uit heb gezet.

Wanneer ik me zelf toevoeg aan de groep site1 kan ik inderdaad in deze folder komen, alleen mag ik hier nog geen bestanden in schrijven omdat de Groups alleen maar R en X als rechten hebben. Nu kan ik W toevoegen aan de rechten maar nu vraag ik me af of dat allemaal wel goed gaat, normaal gesproken heb je gewoon 0755, nu zit ik op 2770, en bestanden die ik nu aanmaak krijgen als eigenaar "1001" in plaats van een naam.

Verder kan ik nu ook niet meer met apache de folder openen tenzij ik die user ook aan elke groep toevoeg.

Weten jullie geen andere makkelijke manier om dit te realiseren?

donderdag 9 februari 2012 20:36

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Nee, ik ken ze niet. Er zijn wel alternatieven maar die zijn niet makkelijker. Met acls kun je veel precieser permissies instellen, maar het maakt het niet makkelijker.

This post is warranted for the full amount you paid me for it.

donderdag 9 februari 2012 20:48

Acties:

0 Henk 'm!

ieperlingetje

Niet echt een nette oplossing, maar kun je niks met symbolic links of mounted folders aanvangen?

Tijdmachine | Nieuws trends

donderdag 9 februari 2012 21:25

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Dat niets helpen met permissies.

This post is warranted for the full amount you paid me for it.

donderdag 9 februari 2012 21:28

Acties:

0 Henk 'm!

spone

Plus een symlink werkt niet echt super wanneer je de gebruiker chroot in zijn homedir. Dan moet je, zoals ieperlingetje zegt met mounted folders gaan werken, wat je eigenlijk ook niet wilt.

[ Voor 4% gewijzigd door spone op 09-02-2012 21:28 ]

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

donderdag 9 februari 2012 21:57

Acties:

0 Henk 'm!

PaulEm

Topicstarter

Hmm, dus eerlijk gezegd is er gewoon geen goede oplossing voor om dit te realiseren en kan ik dus beter bij het per project een aparte user maken?

Reden dat ik het zo wou is met name dat ik niet per project een nieuwe user hoef aan te maken met een ander wachtwoord. We werken namelijk met stagiaires die ik niet toegang wil geven tot elk project, vandaar dat ik het op deze manier wou oplossen.

donderdag 9 februari 2012 22:00

Acties:

0 Henk 'm!

RemcoDelft

In dat geval zet je toch zo'n stagiair aan het zoeken naar een goede oplossing?

donderdag 9 februari 2012 22:01

Acties:

0 Henk 'm!

spone

Als ik het zo lees moet je:
- Per projectfolder een groep aanmaken
- Gebruikers lid maken van de groepen waar ze bij moeten
- Rechten instellen op iedere folder zodat de groep rw rechten heeft, en nieuwe bestanden de groep krijgen van de parent groep
- vsftpd instellen om een umask over de bestanden heen te gooien zodat de groep rw rechten houdt.

Eigenlijk ben ik meer van de Windows-hoek, waar je dit soort dingen met de ingebakken IIS FTP service in een paar minuten instelt, waarbij iedere specifieke gebruiker slechts hetgene ziet waarvoor hij rechten heeft, en tegelijkertijd gelocked is in zijn home directory, zonder gezeur met rechten die fout gaan, umasks etc. Maar dat hier binnen NOS wellicht wat vloeken in de kerk

En dan maar hopen dat je niet specifieke stagiairs enkel leesrechten wil geven op bepaalde projecten...

[ Voor 42% gewijzigd door spone op 09-02-2012 22:10 ]

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

donderdag 9 februari 2012 22:11

Acties:

0 Henk 'm!

RemcoDelft

spone schreef op donderdag 09 februari 2012 @ 22:01:
Eigenlijk ben ik meer van de Windows-hoek, waar je dit soort dingen met de ingebakken IIS FTP service in een paar minuten instelt, waarbij iedere specifieke gebruiker slechts hetgene ziet waarvoor hij rechten heeft, en tegelijkertijd gelocked is in zijn home directory, zonder gezeur met rechten die fout gaan, umasks etc. Maar dat hier binnen NOS wellicht wat vloeken in de kerk

Het principieel foute aan die benadering is natuurlijk dat permissies dan op applicatieniveau geregeld worden, i.p.v. op kernelniveau.

donderdag 9 februari 2012 22:12

Acties:

0 Henk 'm!

leuk_he

1. Controleer de kabel!

/troll hierboven...

In windows regel je het dus blijkbaar in de applicatie, in unix al 40 jaar lang in het os.

maar goed":

http://www.dba-oracle.com/linux/sticky_bit.htm

Ik denk dat je NIET root de eigenaar van de dir wilt laten zijn, dat je daardoor de sticky bit niet goed werkt.

Specifieke stagaisr leesrechten kan met setfacl op een modern file systeem

[ Voor 11% gewijzigd door leuk_he op 09-02-2012 22:13 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 9 februari 2012 22:19

Acties:

0 Henk 'm!

spone

RemcoDelft schreef op donderdag 09 februari 2012 @ 22:11:
[...]
Het principieel foute aan die benadering is natuurlijk dat permissies dan op applicatieniveau geregeld worden, i.p.v. op kernelniveau.

offtopic:
Geen zorgen, dat wordt gewoon op filesystem/OS niveau geregeld door middel van ACLs (die er al sinds de eerste versie van NT in zaten), niet door de applicatiesoftware. Enige wat applicatie doet is een virtuele directorystructuur voorschotelen aan de FTP client, en de rest aan het OS over laten. Nu weer terug ontopic

i5-14600K | 32GB DDR5-6000 | RTX 5070 - MacBook Pro M1 Pro 14" 16/512

donderdag 9 februari 2012 22:47

Acties:

0 Henk 'm!

PaulEm

Topicstarter

Oke, met behulp van umask ben ik aardig ver gekomen. Ik heb nu per project alsnog een user, die is standaard eigenaar van die map. Wanneer ik nu op mijn eigen account in log zie ik alleen als eigenaar "1002" staan. 1002 is user "site1".

Wat kan precies de reden zijn dat hier 1002 staat en niet gewoon de user?

donderdag 9 februari 2012 22:50

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Dat komt waarschijnlijk door je chroot, die heeft z'n eigen /etc/passwd die afwijkt van de rest van je systeem.

edit:

uhh, gebruik je eigenlijk wel een chroot of ben ik in de war met een ander topic?

[ Voor 29% gewijzigd door CAPSLOCK2000 op 09-02-2012 22:51 ]

This post is warranted for the full amount you paid me for it.

donderdag 9 februari 2012 22:53

Acties:

0 Henk 'm!

PaulEm

Topicstarter

CAPSLOCK2000 schreef op donderdag 09 februari 2012 @ 22:50:
Dat komt waarschijnlijk door je chroot, die heeft z'n eigen /etc/passwd die afwijkt van de rest van je systeem.

Zonder chroot zie ik ook alleen de IDs. Als ik via vsftpd de optie hide_ids op YES zet zie ik "ftp" als owner, ook niet zo'n verkeerd probleem, alleen wanneer ik nu een nieuw bestand maak is de eigenaar "paul" (ook als groep zijnde), dat gaat geheid problemen opleveren met apache/schrijfrechten