FTP Server ohne strenges chroot

22/12/2009 - 16:50 von Peter Mairhofer | Report spam
Hi,

Auf meinem Webserver habe ich zusàtzlich zu den Homedirectories der User
folgenden Aufbau:

/srv/www/site1
site2
...

Wobei eine unbestimmte Menge an Benutzern jeweils Zugriff auf die
Projekte haben soll. Den Zugriff regle ich mit ACLs.

Jetzt möchte ich den Usern auch ermöglichen den Content mittels ftps
(NICHT sftp!) upzuloaden bzw. zu veràndern. Alle bisher mir bekannten
Lösungen schaffen entweder nur ein restriktives chroot oder aber gar
keinen Schutz sodass Zugriff auf das ganze Dateisystem besteht.

Ich stelle mir das eher so vor, dass sich sich der User einloggt, sein
Homeverzeichnis vorfindet und "darübergelegt" die Projekte auf die er
Zugriff hat.

Hier würde es auch reichen wenn das chroot nur "virtuell" implementiert
wàre, also ohne Sicherheitslücke im FTP Server der User auch nur auf
seine Verzeichnisse gelockt wàre. Ich sehe darin kein großes
Sicherheitsproblem, denn Mailserver, Webserver etc. chrooten ja auch nicht.

Mir kommt dieses starre alte System (chroot oder nix) irgendwie so
veraltert vor und kann mir so schwer vorstellen dass es da keine
Alternativen gibt...das muss doch heutzutage oft gebraucht werden.

Kennt jemand eine Software die das anstàndig unterstützen kann? Sie
sollte speziell unter Linux und Solaris laufen.

Derzeit verwende ich ProFTPd...bin ich vielleicht auch einfach zu blöd
um oben genanntes Szenario mit dem zu implementieren?

Achja, es wàre sehr wünschenswert wenn der FTP Server auch LDAP
Authentifizierung kann.

LG,
Peter
 

Lesen sie die antworten

#1 Tobias Hagen
22/12/2009 - 17:33 | Warnen spam
Peter Mairhofer schrieb:
Hi,

Auf meinem Webserver habe ich zusàtzlich zu den Homedirectories der User
folgenden Aufbau:

/srv/www/site1
site2
...

Wobei eine unbestimmte Menge an Benutzern jeweils Zugriff auf die
Projekte haben soll. Den Zugriff regle ich mit ACLs.

Jetzt möchte ich den Usern auch ermöglichen den Content mittels ftps
(NICHT sftp!) upzuloaden bzw. zu veràndern. Alle bisher mir bekannten
Lösungen schaffen entweder nur ein restriktives chroot oder aber gar
keinen Schutz sodass Zugriff auf das ganze Dateisystem besteht.

Ich stelle mir das eher so vor, dass sich sich der User einloggt, sein
Homeverzeichnis vorfindet und "darübergelegt" die Projekte auf die er
Zugriff hat.

Hier würde es auch reichen wenn das chroot nur "virtuell" implementiert
wàre, also ohne Sicherheitslücke im FTP Server der User auch nur auf
seine Verzeichnisse gelockt wàre. Ich sehe darin kein großes
Sicherheitsproblem, denn Mailserver, Webserver etc. chrooten ja auch nicht.

Mir kommt dieses starre alte System (chroot oder nix) irgendwie so
veraltert vor und kann mir so schwer vorstellen dass es da keine
Alternativen gibt...das muss doch heutzutage oft gebraucht werden.

Kennt jemand eine Software die das anstàndig unterstützen kann? Sie
sollte speziell unter Linux und Solaris laufen.

Derzeit verwende ich ProFTPd...bin ich vielleicht auch einfach zu blöd
um oben genanntes Szenario mit dem zu implementieren?

Achja, es wàre sehr wünschenswert wenn der FTP Server auch LDAP
Authentifizierung kann.



Hallo Peter,

Schau Dir mal vsftpd an. Der kann mit virtuellen Usern arbeiten, sodaß
nur ein Systemuser für den ftp notwendig ist; Du kannst auch für jeden
User das Homeverzeichnis einzeln festlegen, welche Rechte die
geschrieben Dateien haben, etcpp. Der User kann aus seinem
Homeverzeichnis auch nicht raus, er sieht das eingestellte Verzeichnis
als root-Verzeichnis des ftp-Accounts.
Ich meine mich zu erinnern, daß die Authentifizierung auch per LDAP
geht, bin mir aber nicht mehr ganz sicher.

Viele Grüße und viel Erfolg
Tobias

Ähnliche fragen