Freesco, NND, CDN, EOS

Mam na freesco odpalone Proftp. Storny uzytkownikow sa w mnt/home/nazwa_usera i jest to podpiete do domeny www.mojanazwa.pl.

Jest uzytkownik ala i on wchodzi logujac sie via proftp do mnt/home/ala. NIestety jeden uzytkownik nazwijmy go beta musi miec dostep do calego /mnt/home (wzraz z katalogami innych userow), a nie moze to byc root .

JAK TO USTAWIC ???

Na koncu pliku konfiguracyjnego do ProFTP napisalem:



ale nie zadzialalo. Dalej kminiac temat zmienilem

DefaultRoot ~ na DefaultRoot mnt/home

To samo zrobilem z DefaultChdir (bo nie czuje czym sie roznia ) i zadzialalo, tyle ze nie mam praw dostepu tzn. nic kasowac, edytowac, etc.

Jak zmienic, poszerzyc prawa dostepu, ewentualnie jak inaczej skonfigurowac tego nieszczesnego ftp dla mojego usera ?

_________________
---------------
Best regards

C-O-N

Wydaje mi się, że jeżeli wchodzisz już do właściwych katalogów, to powinieneś ustawić te uprawnienia w LINUX'ie dla usera beta i powinno być OK.

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl

a moze by to tak przerobic zeby proftp traktowal /mnt/home tak samo dla user beta jak /mnt/home/beta do tej pory.

Da sie to przestawic i gdzie ?

_________________
---------------
Best regards

C-O-N

Albo tak:


Co do praw to /mnt/home daj na 777
/// kasowanie mozesz zablokowac w dyrektywach Limit (Allow/Deny)

I jeszcze niech nam poda adres tego serwerka z /mnt/home z prawami 777 - będą ludziska mieli ubaw kasując mu raz na tydzień zawartość katalogów domowych... a może lepiej jeszcze dać w eftepie katalog /mnt i chmod 777 chown nobody - będzie super

Maciek:
<Limit RNFR DELE RMD SITE_CHMOD>
DenyAll
</Limit>

ProFTPD wogole nie przepusci kasowana pliku DELE, lub katalogu RMD
chyba ze wiesz jak to ominac co ?

Nadal rozśmiesza mnie ta propozycja. Zakładając, że ktoś nie będzie wiedział jak to ominąć, to po co userowi "x" dostęp do katalogu "y" i "z" - jeśli i tak nie będzie mógł skasować tam pliku? A naszemu pytającemu zależało na tym, aby jako user "x" mógł do woli mieszać w katalogach pozostałych userów. Tutaj mam zastrzeżenie - jestem z zasady przeciwny zmianie uprawnień, szczególnie na 777. Ja bym to zrobił inaczej. Założyłbym grupę "XYZ" do której należeli by użytkownicy "x", "y" i "z". Katalogi dałbym na 755 natomiast pliki w katalogach odpowiednio na 664 lub 775. A poza tym nie mogę sobie wyobrazić jaka może być potrzeba, żeby user "x" maił grzebać w katalogach innych userów.

uzytkownik beta ma dostep do /mnt/home i do katalogow
uzytkownik ala jest zamkniety w katalogu /mnt/home/ala
o to chodzilo.

Prawa C-O-N podzieli wedlug uznania.


to byl przyklad jak moze ograniczac prawa userom.
Nie musi tego stosowac.


Wscipski admin.

Jak nie zastosuje to będzie łatwy dostęp
A jak zastosuje, to user beta będzie miał quasi dostęp.

Jeśli już to wścibski
Ale serio, to nie o to chodzi, po prostu zadziwia mnie jakie kombinacje ludziska wyczyniają, czasami dostaję takie listy, że zęby wypadają ze zdumienia, co też ludzie planują zrobić. Niedawno jeden mnie pytał jak zrobić dwa konta roota (lub może inaczej - dwóch rootów).

Dobre, root zapasowy

Nie chodzi o grzebanie w katalogach innych userow tylko o dostep do strony www serwera (nazwijmy ja glowna) z ftp bez uzycia root'a.

Wlasnie index.htm strony glownej servera jest pod /mnt/home i nic na to nie poradze. Jak domene przestawie do katalogu np. /mnt/home/beta to znowu nie dzialaja konta userow bo sa w /mnt/home. Czyli:

www.moja_domena.pl/moj_uzytkownik

Jest kilka rozwiazan ktore mi przychodza do glowy, np. zeby konta uzytkownikow przeniesc do /mnt/home/beta/. Tylko ze w efekcie otrzymam to samo. Co do uprawnien 777 to obejdzie sie bez tego. Wpadlem na cos innego dzieki RoBoS.


W kazdym razie nie bede wiecej pytal i poszerzal watku bo Pan Maciek skutecznie to uniemozliwia sluzac tzw. rada (ostatnie w "" )

_________________
---------------
Best regards

C-O-N

Wrrrrr... zaraz zacznę sobie resztki włosów wyrywać... Właśnie dlatego na forum i na grupie prosimy, piszcie dokładnie rzeczowo i "po polskiemu".
Problem jest do rozwiązania i to w sposób prosty i sensowny, bez niepotrzebnego manipulowania uprawnieniami. Oczywiście brakuje tu danych co do serwera www (apacz?).
Przedstawię więc hipotetyczną sytuację dla apacza i proftpd.
Katalog root serwera www ustawiamy na mnt/home/www. - widoczne pod adresem:
http://moja.domena.pl
katalogi ze stronami użytkowników są :
/mnt/home/user/public_html - widoczne pod adresem:
http://moja.domena.pl/~user
Jeżeli chcemy mieć adresy www typu:
http://moja.domena.pl/user - robimy symlink:
ln -s /mnt/home/user/public_html /mnt/home/www/user
Gdybyśmy chcieli mieć poddomenę należy zrobić virtual host w apaczu i będzie:
http://user.moja.domena.pl
(O ile mi wiadomo, podobnie jest w CGpro).
A teraz jak się dostać do katalogu eftepem.
Po pierwsze, można ustawić DefaultRoot jako ~ i wtedy każdy user wchodzi do swojego katalogu domowego, w nim może mieć public_html, więc spokojnie może zmieniać swoje strony. Dla tego, kto zajmuje się stronami w głównym katalogu serwera najlepiej jest stworzyć konto np. webadmin (katalog domowy /mnt/home/www chmod 755, jako powłoka /bin/false - dla bezpieczeństwa).
Przy czym możliwe są również inne kombinacje i ustawienia, jedyne o czym trzeba pamiętać, to to, że proftpd nie operuje na symlinkach, musi mieć rzeczywiste katalogi. Apache z kolei tak samo otwiera strony w rzeczywistym katalogu jak i w innym podlinkowanym zupełnie z innego miejsca.
To oczywiście tak w skrócie, szerzej napisałem o ustawieniach w kilku tekstach na miniwebportalu.

Skoro już o tym mowa, generalnie nikomu nie zabieram możliwości wypowiedzi, ale skoro już mi przyszło pełnić tę mało wdzięczną rolę moderatora, to czasem usiłuję zmusić ludzi do bardziej przemyślanych wypowiedzi. Nie jestem alfą i omegą i nie na wszystkim się znam, ale jeśli już jakiś problem został opracowany, po co wyważać otwarte drzwi. Chyba, że ktoś lubi...

To sie nazywa rzeczowa informacja... Dzieki

Oczywiscie to bylo Apache. Zapomnialem dodac. Musze sie podszkolic w pisaniu postow

_________________
---------------
Best regards

C-O-N

Ja tak mam i co z tego wynika. Możesz sobie dać zęby wyrwać, nie będą Ci wypadały
Wszystkich ostatnio chcesz pouczać.
Tu mamy rozwiązywać problemy, a nie negować coś własną ideologią.
Owszem, można dać ostrzeżenie, jakie niebezpieczeństwo to może powodować, ale każdy może robić jak zechce.
Nie bronię tu też tych co pytają, to potrafi człowieka zirytować, a najczęściej potrzebną wiedzą jest sztuka jasnowidzenia i trafnego zgadywania

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl

Mam rozwiazanie mojego problemu. Tradycyjnie wybralem inna droge zeby rozwiazac problem uzytkownika beta o jeden lewel nizej czyli do /mnt/home

Maciek mnie naprowadzil tym ze musze zmienic uprawnienia katalogu i...
wystarczylo wejsc w PASSWD i zmienic dla uzytkownika beta katalog domowy z /mnt/home/user na /mnt/home i dziala

User beta nie moze wejsc w zaden katalog innego uzytkownika (access deny - tzn. wejsc moze ale w srodku nic nie ma) nie wyjdzie tez wyzej poza /mnt/home, czyli moze JEDYNIE tworzyc katalogi.

Inni uzytkownicy sa w swoich /mnt/home/user i nie wyjda z niego.

Powiedzcie mi panowie dlaczego to ma byc niebezpieczne? Co on moze zrobic zlego ???

_________________
---------------
Best regards

C-O-N

Niby nic w samym systemie, ale wyobraż sobie, że w sieci jest dwóch kolesi, którzy się nie lubią - jeśli jeden z nich choćby przez przypadek, będzie miał jakieś luźne uprawnienia plików, a drugi mu pokasuje, to pretensje będą do admina. Albo np. poczta jest w katalogach domowych - wystarczy że jasio wejdzie do katalogu zosi odczyta sobie plik z pocztą. I po osiedlu będzie gadał, że Zośka to z Romkiem wyjechała do hotelu na Mazury, a jej mąż w tym czasie jak głupi chałupę malował... sorki - rozpisałem się za bardzo.
A teraz do Kipy:
Wow, grubym kijem mi przywaliłeś. Nie mam ideologii pod nazwą Freesco. Tylko, że w tym przypadku od początku domyślałem się o co chodzi i możan to było szybko i sprawnie wyjaśnić. Ale masz rację, miałem wczoraj jakiś taki "pouczający" dzień. Czasami tak jednak bywa, że ten poziom cierpliwości się obniża za bardzo.
Choć z historii Forum wiem, że nie tylko mnie się takie chwile słabości przytrafiają
No ale powinniśmy się wzajemnie czasem mitygować, jeśli ktoś wpadnie w zbyt mentorski ton, więc dzięki i pozdrówka.

Nie ma sprawy. Znalazłem nawet odpowiednią ikonkę, żeby nikt nie miał wątpliwości

_________________
Zawsze znajdzie się ktoś, kto nie wie, że tego się nie da zrobić - I to zrobi

Kipa
http://www.FreeSCO.w.pl