|
|
Autor |
Nachricht |
Gast
|
Verfasst am:
21.04.2011, 13:44 User anlegen - Gruppen und Verzeichnis-/ Dateirechte |
|
Hallo Leute! Ich hoffe (bzw. bin mir ziemlich sicher), dass ihr mir hierbei helfen könnt, da ich leider noch ein ziemlicher Neuling hinsichtlich Ubuntu bin.
Folgende Problemstellung gilt es für mich zu lösen: Ich (wir) planen unseren Kunden diverse Dateien per FTP download zur Verfügung zu stellen. Jeder Kunde kann mehrere FTP-User von uns anlegen lassen.
Nun wäre folgende "Rechte- bzw. Verzeichnisstruktur" angedacht:
Userhome
- Bilddaten (wird mit mount --bind angehängt)
- Stammdaten (wird mit mount --bind angehängt)
- Konditionen (wird benutzerspezifisch mit Daten befüllt)
Nun zu meinem Problem. Angenommen der Kunde mit dem Home-Directory "AT_xxxxx" will 3 User zur Verfügung gestellt bekommen, davon soll der primäre User "AT_xxxxx_A" auf alle Verzeichnisse (sowie deren Dateien) zugreifen können, User "AT_xxxxx_B" nur auf Bilddaten (sowie dessen Dateien) und Stammdaten und User "AT_xxxxx_C" nur auf Konditionen (sowie dessen Dateien).
Die User sollen im weiteren keine Löschrechte haben und auch keine Dateien ändern oder erstellen können. SSH-Zugriff natürlich auch nicht
Bislang habe ich folgendes "geschafft":
1) Primären User anlegen:
sudo useradd -s /usr/sbin/nologin -d /home/AT_xxxxx -m AT_xxxxx_A
2 a) Weiteren User anlegen:
sudo useradd -s /usr/sbin/nologin -d /home/AT_xxxxx AT_xxxxx_B
2 b) Weiteren User anlegen:
sudo useradd -s /usr/sbin/nologin -d /home/AT_xxxxx AT_xxxxx_C
3) Passwörter setzen:
sudo passwd AT_xxxxx_x
4) Verzeichnisrechte einschränken (somit wäre das mit den Löschrechten und den Dateierstellungs- und änderungsrechten auch erledigt):
chmod 544 /home/AT_xxxxx
5) Verzeichnisse erstellen:
mkdir --mode 544 /home/AT_xxxxx/Bilddaten
mkdir --mode 544 /home/AT_xxxxx/Konditionen
mkdir --mode 544 /home/AT_xxxxx/Stammdaten
6) Verzeichnisse mounten (da immer gleich):
mount --bind /home/Bilddaten /home/AT_xxxxx/Bilddaten
mount --bind /home/Stammdaten /home/AT_xxxxx/Stammdaten
Wie kann ich in diesem Prozess nun festlegen/integrieren, dass ich für die einzelnen User die jeweiligen Verzeichnisse anzeigen oder lesbar machen lasse?
Meine Überlegung dahingehend wäre --> 3 Gruppen pro User:
- FullAccess für alle Daten --> sieht alle Verzeichnisse und Dateien im Home-Dir
- SD für Stammdaten --> sieht nur die Verzeichnisse Bilddaten und Stammdaten (sowie deren Dateien) im Home-Dir
- KD für Konditionen --> sieht nur das Verzeichnis Konditionen (sowie dessen Dateien) im Home-Dir
Doch wie mache ich das am besten????
So, das war jetzt eh ein anständiger Roman, doch hoffentlich ausführlich genug, damit ihr mir hoffentlich helfen könnt!!!
Gruß Alex
Desktop: anderer
Version: 16.04
Hardware: Notebook
Architektur: 64Bit
|
|
|
|
Webbutterfly
Administrator
Geschlecht:
Alter: 68
Anmeldungsdatum: 24.06.2006
Beiträge: 6917
Wohnort: Wien 23
|
Verfasst am:
21.04.2011, 14:23 (Kein Titel) |
|
Hello
Frage: Warum installierst du dir nicht einen FTP-Server und verwaltest diesen über eine grafische Oberfläche... zB. proftp mit der grafischen Oberfläche gadmin-proftp
...liegt beides in den Repositorys > Paketverwaltung
Da kannst tu so ziemlich alles konfigurieren was du willst.
Desktop: Gnome-Shell 3.X
Version: 14.04 and 16.04
Hardware: Notebook
Architektur: 64Bit
_________________
|
|
|
|
Gast
|
Verfasst am:
21.04.2011, 14:43 (Kein Titel) |
|
Zitat: Frage: Warum installierst du dir nicht einen FTP-Server und verwaltest diesen über eine grafische Oberfläche... zB. proftp mit der grafischen Oberfläche gadmin-proftp
...liegt beides in den Repositorys > Paketverwaltung
Naja...der Server ist extern angemietet (Root-Server) und ich habe hier nur mit Putty von meiner Windows 7-Maschine einen SSH-Zugriff, dh (wenn ich das jetzt von meinem Wissen annehme) dass ich da mit ner grafischen Oberfläche nicht viel Erfolg haben werde oder irre ich mich?
Dh (ich vermute zumindest) dass ich scheinbar keine andere Lösung habe, außer mittels SSH die einzelnen Befehle zum Server zu schicken?!
Desktop: anderer
Version: 16.04
Hardware: Notebook
Architektur: 64Bit
|
|
|
|
Webbutterfly
Administrator
Geschlecht:
Alter: 68
Anmeldungsdatum: 24.06.2006
Beiträge: 6917
Wohnort: Wien 23
|
Verfasst am:
21.04.2011, 18:26 (Kein Titel) |
|
Sorry, du schreibst FTP dann ist es doch nicht ein FTP-Zugang... Sorry, verstehe ich nicht, es gehört für FTP auch ein FTP-Server, den man aber auch entsprechend konfigurieren kann.
Wenn du einen Root-Server mit Linux hast, sollte es auch kein Problem sein grafisch darauf zuzugreifen, vorausgesetzt, du hast eine grafische Oberfläche installiert.
Kennst du dich mit Linux aus?
Wenn du nur über das Terminal arbeitest, gehören schon einige gute Linux-Kenntnisse dazu, um hier etwas zusammen zu bringen. Das, so würde ich meinen, übersteigt aber die hier im Forum vorhandenen Möglichkeiten...
....wenn du keine Linux-Kenntnisse hast.
Weise nochmals darauf hin, einen FTP-Server kann man dementsprechend konfigurieren... übers Terminal hartes Brot
Was du in deinem ersten Beitrag gepostet hast, ist das mal eine Möglichkeit wie man User auf einem Linux anlegt...
...oder verstehe ich etwas falsch...
Desktop: Gnome-Shell 3.X
Version: 14.04 and 16.04
Hardware: Notebook
Architektur: 64Bit
_________________
|
|
|
|
Gast
|
Verfasst am:
22.04.2011, 06:48 (Kein Titel) |
|
Hallo, keine Sorge, wenn das ein Root-Server ist, dann darfst Du auch alles machen, alles installieren, alles grafisch machen!
Selbst wenn Du nur ssh Zugriff hast, kannst Du grafisch arbeiten, dazu brauchst Du oft nicht mal root-Rechte. Du kannst über einen Remote Desktop arbeiten, über welchen, das hängt davon ab, wie abgesichert das Ganze sein soll. Dazu braucht Dein Windows ein grafisches Programm, in welchem Dein FTP-Admin-GUI zu sehen und zu bedienen ist.
Ich hoffe Du meinst nicht ungesichertes FTP, sondern FTPS oder SFTP.
Jeder (etwas bessere) FTP Server kann den User in seinem Verzeichnisbaum einsperren (chroot Jail), und mit passenden Permissions ist die Aufgabe auch leicht zu lösen. Es wird Dir jedoch nicht erspart bleiben, abh vom verwendeten FTP Server ein Tutorial zu bemühen und Dir administrative Skills anzueignen, sonst wird das im Internet zu einem Sicherheitsrisiko. (besonders wenn Kundendaten dahinterstehen)
Desktop: anderer
Version: 16.04
Hardware: Notebook
Architektur: 64Bit
|
|
|
|
Gast
|
Verfasst am:
22.04.2011, 09:36 (Kein Titel) |
|
Zitat: Hallo, keine Sorge, wenn das ein Root-Server ist, dann darfst Du auch alles machen, alles installieren, alles grafisch machen!
Selbst wenn Du nur ssh Zugriff hast, kannst Du grafisch arbeiten, dazu brauchst Du oft nicht mal root-Rechte. Du kannst über einen Remote Desktop arbeiten, über welchen, das hängt davon ab, wie abgesichert das Ganze sein soll. Dazu braucht Dein Windows ein grafisches Programm, in welchem Dein FTP-Admin-GUI zu sehen und zu bedienen ist.
Ich hoffe Du meinst nicht ungesichertes FTP, sondern FTPS oder SFTP.
Jeder (etwas bessere) FTP Server kann den User in seinem Verzeichnisbaum einsperren (chroot Jail), und mit passenden Permissions ist die Aufgabe auch leicht zu lösen. Es wird Dir jedoch nicht erspart bleiben, abh vom verwendeten FTP Server ein Tutorial zu bemühen und Dir administrative Skills anzueignen, sonst wird das im Internet zu einem Sicherheitsrisiko. (besonders wenn Kundendaten dahinterstehen)
Danke schon mal für deine Antwort
Also, ein komplett geistiges "Nackerbatzerl" in dem Bereich bin ich zum Glück eh nicht, ich komme nur aus der Softwareentwicklung und wurde mit dem Thema mittlerweile auch betreut und "darf" es jetzt machen
Bei mir scheiterts nur leider an dem "Wie installiere ich eine grafische Oberfläche auf dem Root-Server und mit welchem Programm greife ich dann von meiner Windows 7 Workstation darauf zu?" *g* Aber ich schätz mal, da werdet ihr nur lächeln und es stellt kein großes Problem dar, oder?
Ja, eine SSL-Absicherung des FTP-Transfers werden wir (aufgrund der Übertragung von Preisdaten) auf jeden Fall machen!
Aber das ist erst der nächste Schritt. Momentan handelt es sich nur um Produkt- und Bilddaten (maximal mit Bruttopreisen), dh da es kein gravierendes Sicherheitsrisiko.
Momentan wird auf dem Root-Server "vsftpd" als FTP-Server verwendet, was meines Wissens nach, also demnach was ich mir bislang zusammengelesen habe, ziemlich schnell überfordert sein dürfte.
Gehe ich richtig der Annahme dass "proftpd" die bessere Lösung ist, ohne meine Kunden damit zu belästigen irgendwelche VPN-Tools zu installieren und das Ganze zB über Samba mit VPN zu lösen?
Desktop: anderer
Version: 16.04
Hardware: Notebook
Architektur: 64Bit
|
|
|
|
Webbutterfly
Administrator
Geschlecht:
Alter: 68
Anmeldungsdatum: 24.06.2006
Beiträge: 6917
Wohnort: Wien 23
|
Verfasst am:
22.04.2011, 09:55 (Kein Titel) |
|
Interessant wäre mal zu wissen, welcher Server (Distribution) läuft... mit
uname -a
bekommst du da mal die Informationen.
Informationen über die Konfiguration von vsftp bekommst du hier, grafische Möglichkeit gibt es da nicht, doch es sind alle Einstellungen gut beschrieben.
Eine Möglichkeit zur grafischen Fernwartung über den Browser ist webmin...leider ist dieses Tool nicht wirklich sicher und es wird abgeraten ihn unter Ubuntu zu verwenden.
Desktop: Gnome-Shell 3.X
Version: 14.04 and 16.04
Hardware: Notebook
Architektur: 64Bit
_________________
|
|
|
|
Gast
|
Verfasst am:
22.04.2011, 10:18 (Kein Titel) |
|
Hallo Webbutterfly,
ja also von der Variante mit der grafischen Weboberfläche bin ich mittlerweile aufgrund der doch nicht unerheblichen Sicherheitslücken eh schon "weg".
Dh ich werde weiterhin mittels Putty und den Shells arbeiten, was denke ich doch wesentlich sicherer ist.
Sorry, habe vergessen es in den Anfangsthread hineinzuschreiben.
Ubuntu 10.10
Linux 2.6.35-22-server #35-Ubuntu SMP Sat Oct 16 22:02:33 UTC 2010 x86_6 4 GNU/Linux
Desktop: anderer
Version: 16.04
Hardware: Notebook
Architektur: 64Bit
|
|
|
|
|
1008050261051 Angriffe abgewehrt
Powered by Orion based on phpBB
© 2001, 2002 phpBB Group
CBACK Orion Style based on FI Theme
Alle Zeiten sind GMT + 2 Stunden
| |
|