Proftpd a atributy

Řešení je několik.

Všechny uživatelské účty na FTP budou sdílet stejné uživatelské číslo, budou se však lišit domovským adresářem. Toto uživatelské číslo bude shodné s číslem uživatele pro server apache. Pro správnou funkci pak budou stačit práva 600, tj. čtení a zápis jen pro uživatele.
Výhody: Snadné a rychlé nastavení.
Nevýhody: Uživatelské adresáře musí být odděleny.
Uživatelské účty budou mít jiná čísla, nebudou pro systém splývat. Uživatelé však budou členy stejné skupiny, v jaké je server apache a pro správnou funkci budou stačit práva 660, tj. čtení a zápis pro uživatele i skupinu. Nutno však podotnkout, že změnou práv souboru přes FTP či PHP může opět nastat problém s přístupem. Hlídání práv tak může být docela nepříjemné, pomoci může třeba umask, ale ne zcela.
Výhody a nevýhody jsou stejné jako v předchozím případě.
Uživatelské účty budou zcela odděleny, domovské adresáře budou mít nastaven setgid a čtení a zápis pro uživatele a skupinu, adresář bude patřit danému uživateli a skupině serveru apache, práva nastaví příkaz chmod 2660 adresář. Záhadné označení setgid znamená set group id, každý vytvořený soubor pak nebude patřit skupině, v níž je jeho tvůrce, ale skupině vlastnící onen adresář.
Výhody: Uživatelské účty už jsou více rozvrstveny.
Nevýhody: S výše uvedenými právy zápisu je stále vhodné oddělit adresáře uživatelů.
Uživatelské účty budou nastaveny zcela libovolně, běžná přístupová práva k adresářům budou nastavena tak, jak se vám zlíbí. Podstatná přístupová práva pro WWW server zajistí ACL:
```
setfacl -d -m "u:apache:rwx" domovský_adresář_uživatele
setfacl -m "u:apache:rwx" domovský_adresář_uživatele
```
ACL znamená Access control lists, seznamy přístupových práv. Umožňují nastavit práva pro jednotlivé uživatele či skupiny. První příkaz výchozí práva pro čtení, zápis a spuštění pro WWW server (první příkaz s -d), tj. všem nově vytvořeným souborům a adresářům budou přidělena přístupová práva tak, jako by byl na nich vykonán druhý příkaz. Nakonec jsou tato práva nastavena i samotnému domovskému adresáři.
Výhody: S ACL je možné práva nastavit na mnoho způsobů, výchozí práva pak zajistí, že soubory vytvořené přes FTP i WWW budou moci měnit i mazat oba uživatelské účty, byť nebudou splývat v jeden. Nevýhody: ACL nebývá součástí mnohých distribucí. Instalace nemusí být jednoduchá, je nutno mít podporu v jádře, záplatu v balíku coreutils a knihovny a programy z balíků attr a acl. ACL navíc nepodporují všechny souborové systémy, nicméně všechny obvykle užívané jej umí. Doplnění: Tento stručný popis ACL se týká jen Linuxu. ACL jsou i v jiných systémech (Windows také), nicméně se nastavují někdy úplně jinak.

Já doporučuju poslední možnost, i když instalace není vždy úplně jednoduchá. Pěkné nastavení ACL je lepší, než si hrát s nějakými skupinami a setgid právy.

2.1.2007 15:14 Tomas3 | skóre: 20
Rozbalit Rozbalit vše Re: Proftpd a atributy

Diky ACL mam nainstalovane, ale pise mi to, operace neni podporovana, jako by se nechtelo tomu zapisu v prikazu "u:apache:rwx"

ze by nejaka chyba? Nejak hledam a nenachazim :-(

2.1.2007 15:33 #Tom | skóre: 32 | blog: Inspirace, aneb co jsem kde vyhrabal
Rozbalit Rozbalit vše Re: Proftpd a atributy

Aby ACL fungovalo, tak je potřeba

mít podporu v jádře
mít správně nastaveny parametry pro připojení, tj. acl, za chodu mount -o remount,acl
používat správné nástroje, tj. coreutils s patchem, pozor na běžné správce souborů

2.1.2007 15:43 Tomas3 | skóre: 20
Rozbalit Rozbalit vše Re: Proftpd a atributy

Ja mam ACL neinstalovano, mam verzi 2.2.39

2.1.2007 15:53 #Tom | skóre: 32 | blog: Inspirace, aneb co jsem kde vyhrabal
Rozbalit Rozbalit vše Re: Proftpd a atributy

A co píše mount?

2.1.2007 15:59 Tomas3 | skóre: 20
Rozbalit Rozbalit vše Re: Proftpd a atributy

[root@www3 ~]# mount
/dev/hda1 on / type ext3 (rw)
none on /proc type proc (rw)
/dev/hda8 on /home type ext3 (rw,noexec,nosuid,nodev,usrquota)
/dev/hda6 on /usr type ext3 (rw)
/dev/hda7 on /var type ext3 (rw,noexec,nosuid,nodev,usrquota)
/dev/hdb1 on /var/log type ext3 (rw)
none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)
nfsd on /proc/fs/nfsd type nfsd (rw)
[root@www3 ~]#

2.1.2007 16:12 Petulinek
Rozbalit Rozbalit vše Re: Proftpd a atributy

viz výše,

mít podporu v jádře
??? co je tam napsáno

2.1.2007 16:26 Tomas3 | skóre: 20
Rozbalit Rozbalit vše Re: Proftpd a atributy

No ja zkousel

mít správně nastaveny parametry pro připojení, tj. acl, za chodu mount -o remount,acl

nejde to. Delam dobre, ze do konzole napisu mount -o remount,acl ne? ale tak to nefunguje :-(

2.1.2007 17:39 #Tom | skóre: 32 | blog: Inspirace, aneb co jsem kde vyhrabal
Rozbalit Rozbalit vše Re: Proftpd a atributy

To nestačí, je potřeba ještě dát vědět, kterého oddílu se to týká, např. mount -o remount,acl / – pokud to nebylo zřejmé, tak se omlouvám. :-)

2.1.2007 17:47 Tomas3 | skóre: 20
Rozbalit Rozbalit vše Re: Proftpd a atributy

Aaaaa, ja jsem fakt matěj :o) Diky, uz to probehlo uspesne, v mount se to jizu hlasi v oddile /home tak jsem to zkusil a uvidime, vyzkousim FTP,... a uvidime ...

2.1.2007 17:57 Tomas3 | skóre: 20
Rozbalit Rozbalit vše Re: Proftpd a atributy

Tak se mi zda, ze to nejak nejde, ale zkusim se znovu nejak zeptat, at presne pochopim jak to ma fungovat.

Tim, ze jsem nastavil pres setfacl uzivatele apache tim jsem ziskal tedy co? Ze i kdyz pres proftpd se prihlasi uzivatel domena.cz tak muze editovat take adresare, ktere mu v home directory zalozil uzivatel apache? nebo je to naopak a ja musim v setfacl nastavit misto uzivatele apache uzivatele domena.cz ???

2.1.2007 19:26 #Tom | skóre: 32 | blog: Inspirace, aneb co jsem kde vyhrabal
Rozbalit Rozbalit vše Re: Proftpd a atributy

Pokud patří soubory uživateli domena.cz, tak příkaz setfacl -m "u:apache:rwx" soubory dá přístup i uživateli apache, i když mu soubory nepatří. Obráceně to jde samozřejmě taky. Dokonce není od věci udělat spíš tohle:

setfacl -R -d -m "u:domena.cz:rwx,u:apache:rwx" domovský_adresář
setfacl -R -m "u:domena.cz:rwx,u:apache:rwx" domovský_adresář

Lepší bude, když výchozí práva dají čtení i zápis oběma, aby mohl uživatel domena.cz psát i do souborů vytvořených přes WWW. Nahoře jsem ta výchozí práva nenapsal úplně. A parametr -R také přijde vhod, zejména pokud už tam nějaká data jsou. Bez něj by to bylo dobré jen pro prázdný adresář.

2.1.2007 19:36 Tomas3 | skóre: 20
Rozbalit Rozbalit vše Re: Proftpd a atributy

Diky, zkusim. Jeste dotaz, kdyz jsem nejaky pokus zkusil pro nejakeho jineho uzivatele a nyni jej chci zrusit, existuje nejaky zpusob?

2.1.2007 19:41 Tomas3 | skóre: 20
Rozbalit Rozbalit vše Re: Proftpd a atributy

vyzkouseno, stejne se ty atributy souboru s user: apache nedaji nastavovat :-(

2.1.2007 19:49 #Tom | skóre: 32 | blog: Inspirace, aneb co jsem kde vyhrabal
Rozbalit Rozbalit vše Re: Proftpd a atributy

Co to znamená, že se nedají nastavovat?

2.1.2007 20:18 Tomas3 | skóre: 20
Rozbalit Rozbalit vše Re: Proftpd a atributy

No, proste se prihlasim na FTPcko pres total commander, a chci zmenit atribut z 755 na 777 nasouboru kde je vlastnik apache a ja jsem prihlasen pod domena.com a proste mi to nenecha zmenit :-(

2.1.2007 22:05 #Tom | skóre: 32 | blog: Inspirace, aneb co jsem kde vyhrabal
Rozbalit Rozbalit vše Re: Proftpd a atributy

Tak to samozřejmě nejde, protože ten soubor patří jinému uživateli. Od toho jsou ACL, aby uživatel domena.com mohl ten soubor smazat, nebo do něj zapisovat.

3.1.2007 07:34 Tomas3 | skóre: 20
Rozbalit Rozbalit vše Re: Proftpd a atributy

Aha, ja myslel, ze to vyresi ten problem, to on jej i tak muze mazat a zapisovat do nej. Ale i tak diky, hned jsem zase chytrejsi ;o)

Dotaz: Proftpd a atributy

Odpovědi