PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : FTP Server, PHP und MySQL



mslin
04.02.09, 17:08
Hallo,

ich bin gerade am überlegen ob ich einen FTP Server für meine Kunden einzurichten.
Dabei will ich die Administration möglichst gering halten.

Mein Vertriebsinformationssystem habe ich über PHP mitMySQL realisiert.

Habe mir nun überlegt, ob die Möglichkeit besteht, daß ich über meinem Kundenstamm FTP User mit verwalte.

Stelle mir das so vor:

Kundenstamm - Kunde ABC

Wenn dort FTP Zugang aktiviert wird, sollte ein PHP oder ein script
a) den user unter Suse 10.3 anlegen -> username:gruppe (z.B. abc:extern)
b) soll ein Ordner unter /srv/ftp/extra/<kundenname> angelegt werden
(z.B. /srv/ftp/extra/abc
c) soll dieses PHP die Berechtigung so setzen, daß nur root und der Kunde Zugriff auf diesen Ordner haben.

Kann man sowas mit PHP realisieren ?

Auf dem FTP Server werden auch keine all zu wichtigen Dokumente aufbewahrt.
Nur Informaitonsmaterialien spezifisch für Kunden.

Viele Grüße
mslin

marce
04.02.09, 17:38
klar kann man das mit php realisieren. Das "Problem" ist, es wasserdicht hin zu bekommen, damit einem im Falle X nicht das komplette System über'n Jordan geht oder andere Leute lustig exploiten können.

mslin
04.02.09, 18:02
könntest du das näher erklären -> das mit Fall X ? :-)

cane
04.02.09, 18:11
Fall X kann unter anderem sein:

- Nichtüberprüfung von Benutzereingaben
- Nichtescapen von Sachen
- verwendung von unsicheren Funktionen
- Unsichere Config von PHP
- verwenden einer unsicheren PHP Version
- ...

mfg
cane

mslin
05.02.09, 07:32
ok ...

also es ist aber so, daß es so geplant ist, daß der Außendienst im Kundenstamm nur einen Hacken macht und der Rest ist fest vordefiniert.
Selbst das Passwort wird vorgefiniert bzw. eines generiert.

Auf Benutzereingaben wollte ich von vornherein eigentlich verzichten.


also:
Außendienst oder Admin macht beim Kunden im Kunden stamm einen Hacken, senden das "Formular" ab und ein php wo alles fest vorgegeben ist legt User an, seinen Ordner (oder macht das System das gleich selbst?).
Wird der Hacken wieder entfernt, soll natürlich wieder alles gelöscht werden.

Vom Prinzip soll eigentlich nur FTP für Kunde an o. aus geschaltet werden - mehr nicht.


Dann sicherer?
...und machbar?

mslin

marce
05.02.09, 07:37
(1) alles ist machbar - auch mit php.
(2) wie sicher das ist hängt davon ab, wie es implementiert wird.
(3) es gibt auch schon fertige, getestete, gepflegte (Web-)Verwaltungsoberflächen für ftp-Server, die so ziemlich genau das können, was Du gerne hättest
(4) Hacken gibt's bei OBI.