Következő a problémám/kérdésem:
Van egy teszt1 és teszt2 nevű user, az ftp groupba felvéve:
useradd -s /bin/false -g ftp -d /ftp/teszt teszt1
useradd -s /bin/false -g ftp -d /ftp/teszt teszt2
Azt akarom megoldani, hogy a teszt1-nek teljes joga legyen, míg a teszt2 csak olvasási joggal rendelkezzen.
A proftpd.conf ide vonatkozó bejegyzése (az én értelmezésem szerint):
DefaultRoot ~ ftp
<Directory /ftp/teszt>
HideUser root
HideGroup root
AllowOverwrite on
<limit LOGIN>
AllowUser teszt1 teszt2
AllowGroup ftp
DenyAll
</limit>
<limit WRITE>
AllowUser teszt1
AllowGroup ftp
DenyAll
</limit>
<limit CWD,RETR,DIRS>
AllowUser teszt1 teszt2
AllowGroup ftp
DenyAll
</limit>
<limit DELE,MKD,RMD,WRITE>
AllowUser teszt1
AllowGroup ftp
DenyAll
</limit>
</Directory>
A teszt2 user nem kapott írási jogot, mégis belépés után minden joggal rendelkezik.
Mit ronthattam el?
- 2556 megtekintés
Hozzászólások
Tipp: az "ftp" group-nak van írási joga a /ftp/teszt konyvtarra, ezert
<limit WRITE>
AllowUser teszt1
AllowGroup ftp
DenyAll
</limit>
Ennek értelmében "AllowGroup ftp" miatt az "ftp" csoport tagjai írhatnak. Annak pedig tagja a "teszt2" is.
Távolítsd el a "AllowGroup ftp"-t és szerintem jó lesz.
<limit WRITE>
AllowUser teszt1
DenyAll
</limit>
(teszteltem hasznoló adatokkal, nekem működik)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Danke Mester! Kiprószálom...
- A hozzászóláshoz be kell jelentkezni
Mondjuk én nem így csinálnám :)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
???
Valami javaslat?
- A hozzászóláshoz be kell jelentkezni
<Directory /home/teszt>
HideUser root
HideGroup root
AllowOverwrite on
# Tiltok minden (ALL) FTP parancsot
<Limit ALL>
DenyAll
</Limit>
# Kit engedek be?
<Limit LOGIN>
AllowUser teszt, teszt1
DenyAll
</Limit>
# Ki listázhat (DIRS parancsok: CDUP, CWD, LIST, MDTM, NLST, PWD, RNFR, STAT, XCUP, XCWD, XPWD)?
<Limit DIRS>
AllowUser teszt, teszt1
DenyAll
</Limit>
# Ki olvashat (READ parancsok: RETR, SIZE)?
<Limit READ>
AllowUser teszt, teszt1
DenyAll
</Limit>
Ki írhat (WRITE parancsok: APPE, DELE, MKD, RMD, RNTO, STOR, STOU, XMKD, XRMD)?
<Limit WRITE>
AllowUser teszt
DenyAll
</Limit>
</Directory>
Így egy kicsit átláthatóbb. Ha kell jobban finomítani, akkor még lehet a parancsok felsorolását is tenni, de nem keverném a parancstípusokat.
Bővebben:
http://www.castaglia.org/proftpd/doc/contrib/ProFTPD-mini-HOWTO-Limit.h…
Alapértelmezetten tiltok mindent, mint az IPtables-nél, majd a tiltásból engedek visszafelé. Nem fordítva. Alapértelmezés szerint minden FTP parancs engedélyezve van, te pedig abból akarsz tiltani. Másik irányból egyszerűbb.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Kösz a segítséget :-)
- A hozzászóláshoz be kell jelentkezni
Sajnos ez így nem teljesen jó.
Ez itt a bejelentkezés kivételével mindent tilt:
<Limit ALL>
DenyAll
</Limit>
Pont úgy módosítottam, ahogy írtad, ekkor viszont még a listázás sem működik.
- A hozzászóláshoz be kell jelentkezni
Passz, lepróbáltam, nekem nem volt gondom vele. Ha nem megy, akkor próbáld meg a linkelt leírást. Abban pontosan le van írva, hogy hogyan működik a
<Limit>.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ja. Tuti valahol elb@sztam valamit...
- A hozzászóláshoz be kell jelentkezni
Még valami. Kicsit bagatel:
van arra lehetőség, hogy ha az adott user hozzáférését kilépése után a rendszer letiltsa/törölje?
- A hozzászóláshoz be kell jelentkezni
ennek mégis mi értelme van?
Blog: http://tepsi.extra.hu
Dell C640 - Ubuntu 6.10 & XP + iBook G3 - VGA halott
- A hozzászóláshoz be kell jelentkezni
SQL authentikacioval relative egyszeru.
- A hozzászóláshoz be kell jelentkezni
SQL authentikacioval relative egyszeru.
- A hozzászóláshoz be kell jelentkezni
proFTP esetén hogyan lehet szabályozni, hogy adott helyekhez honnan (source address) férhetnek hozzá? Találtam ezt a leírást, de ezzel nem működik. Jobban mondva, nekem ez nem jött össze.
------------------------------------
[Debian Etch; ASUS P4T533-4; 2.4GHz CPU; 512MB RAM; FluxBox]
- A hozzászóláshoz be kell jelentkezni