ftp homedir generálás jogosultságok alapján?

UNIX kezdő

Üdv (megint :) )!

Szeretném azt elérni, hogy az ftp userek csak a számukra engedélyezett könyvtárakat lássák amikor belépnek.

  • 1034 megtekintés

( wlaszi | 2006. 06. 25., v – 11:45 )

vázolnám a szituációt: 


FTP----HonlapA---userA
      |         |
      |         -userB
      |         |
      |         -userD(jogosultságA+B+C ~ admin)
      |
      -HonlapB--userA...

ezek voltaképpen group-ok...Tehát ezen jogok tetszőleges kombinációjával kell, hogy felruházható legyen egy user.

Tehát pl.: user:testx group:HonlapA-userA, HonlapB-userD, akkor a ftphome-ja így néz ki: 


testxHome----HonlapA---userA fileok
            |
            -HonlapB---userD fileok

2 ötletem volt:
- kiszámíttatom az összes lehetséges jogosultságkombinációt, ezekre legenerálok egy-egy virtualusert, mindegyikre egy egyedi virtual homedirectory-val benne a megfelelő könyvátrakkal. Aztán amikor egy usernek beállítom a jogosultságait, akkor kikeresi a megfelelő kombinációt és azzal a virtualuserrel párosítja.
Ezzel az a probléma, hogy nem találtam ilyen funkciót, tehát kézzel kellene megcsinálni + ha jön egy honlapX, akkor generálhatnám utánna...

- berakom az egész könyvtárrendszert egy home-ba, aztán a userek abba lépnek be amihez van jogosultságuk. De ezzel az a bibi, hogy látják azt a könyvátrat is, amihez nincs belépési joguk, és ez így nem túl elegáns.

vsftpd-vel próbálkozom, de nem ragaszkodom hozzá...

Ötletek?

( andrej_ v | 2006. 06. 25., v – 12:45 )

Azt az apróságot ne felejtsd el, hogy a webes tartalmat olvasnia kell a webszervernek és esetleg írnia, ha PHP-s cuccok mennek. Az miért nem jó megoldás, hogy minden weboldal külön ftp, ha már mindenképp akarod? Az ügyfél pedig ha egyben kéri, akkor úgy kapja és kész.

Látni pedig mindent fognak, max nem tudnak belelépni és/vagy olvasni.

Nem tudom hány vhostot akarsz így, de nekem nagyon úgy tűnik hogy soknál már nem igazán lesz karbantartható.

Az miért nem jó megoldás, hogy minden weboldal külön ftp, ha már mindenképp akarod?
Azért mert vannak átfedések, többszörösen. Ezt próbáltam a példámban is jelölni, ezekszerint kevesebb sikerrel :)
Tehát a te megoldásod esetén ha valaki honlapA-userA és honlapB-userD egyszerre, akkor 2 acc-ot kellene adnom neki. Kockául megfogalmazva: nem a honlaphoz akarok usereket rendelni, ha nem userekhez honlapokat. Mindezt azzal megbolondítva, hogy 1 honlap hozzáféréseit is tetszőleges számban kell tudnom szétcincálni, mert mondjuk 1 domain alatt van 3 subdomain, ami ugyan 1 oldalt jelent, de technikailag 3 van összekapcsolva, 3 külön gárdával (amiben azért vannak közös emberek). (remélem így már életszagúbb a kérdés :) )
Persze 3 esetén még kézzel lehet varázsolni, de valami hosszabb távon fenntartható módszert szeretnék az elején lefektetni, különben a későbbiekben suxx.

Az ügyfél pedig ha egyben kéri, akkor úgy kapja és kész.
Alapvetően ez fejlesztéshez kell, tehát mindenki csak a saját dolgaiban turkáljon.

Nem tudom hány vhostot akarsz így, de nekem nagyon úgy tűnik hogy soknál már nem igazán lesz karbantartható.
Ha kézzel bohóckodom akkor tuti :)

( rtzo | 2006. 06. 25., v – 12:59 )

Hát ezt legegyszerűbben ugy lehet megoldani pl proftpdvel hogy megadod a configba DefaultRoot ~ csak a saját könyvtárát láthatja az illető, oda lép be és onnan ki nem léphet, ha sok az user akkor pedig sql adatbázis.
Ha jól tudom van a vsftpdhez is sql modul.