proftp: Nutzerprobleme

**nother** · 08.05.09, 12:22

Hallo zusammen,

ich muss einer externen Firma Zugriff auf ein Verzeichnis unterhalb von /usr/lib/python2.4/ ermöglichen. Die Unterverzeichnisse gehören natürlich root. Wenn ich den FTP-Nutzer nun in die Gruppe "root" packe (damit er dort auch schreiben kann), kann er aus seinem Home-Verzeichniss, dass ich in /etc/passwd festgelegt habe (hier also: /usr/lib/python2.4/ nach oben hin ausbrechen und auf dem ganzen Server rumsurfen.

Wie kann ich proftp beibringen, dass er diesen Nutzer nicht auf Ebenen oberhalb seines Einstiegs lässt auch wenn er aufgrund der Gruppenzugehörigkeit eigentlich die Berechtigung dazu hat?

greets
nother

**muell200** · 08.05.09, 12:32

Zitat von nother

Wie kann ich proftp beibringen, dass er diesen Nutzer nicht auf Ebenen oberhalb seines Einstiegs lässt auch wenn er aufgrund der Gruppenzugehörigkeit eigentlich die Berechtigung dazu hat?

stichwort: chroot

**nother** · 09.05.09, 23:54

Ja, aber ...

chroot-Umgebungen sind ja für separierte shells und Home-Verzeichnisse ja ganz nett, aber ich die Firma ja an einem Punkt im Produkiv-System einsperren, halt unter /usr/lib/python2.4/site-packages damit die dort dann ihr Skripte uploaden und ändern können.

Eine chroot-Shell mit dem o.g. Einstiegspunkt zu basteln bekomme ich nicht hin...

**Aqualung** · 10.05.09, 08:49

Kannst Du die zu ändernde App. vllt. in eine VM exportieren?

**marce** · 10.05.09, 09:39

ich kenne P. nicht aber das klingt für mich nach etwas ähnlichem, was man bei php z.B. über den Include-Path lösen würde. Gibt's sowas bei P. nicht?

Ansonsten lösen wir so was, wenn es gar nicht anders geht über einen 2-stufiigen Prozess: Upload des Scriptes in ein ded. Verzeichnis und dann entweder automatischer oder manuelles kopieren (kann ja auch über ein Web-Frontend angestoßen werden) in das Zielverzeichnis.

**nother** · 02.08.09, 21:32

Ist zwar schon länger her, wollte aber noch einmal kurz schildern, wie ich das ganze letztendlich gelöst habe:

In der /etc/proftpd.conf folgenden Parameter gesetzt:

DefaultRoot ~

Damit ist der FTP-Einstieg immer das Home-Vz. des Users. Aufgrund von Read-Berechtigungen kommt er damit keine Stufe höher. Sollte der Zugriff auf höhere Ebenen zeitweilig notwendig sein, habe ich das mit chmod a+r und evtl. a+w für einzelne Config-Files erledigt.

Dienste, die für die Arbeiten benötigt wurden habe ich mit sudo erlaubt und in der /etc/sudoers aufgelistet.

greets nother