jlouis skrev:Jimmyfj skrev:Den langt sikreste metode til dit projekt vil være at oprette en gruppe specielt til brug for FTP-operationer.
Det er ikke det som er formålet. Formålet er at lave en chroot-lignende konstruktion i FTPd'en så folk ikke kan lave ulykker. At give adgang gennem en gruppe til hele filsystemet er at bede om problemer. F.eks. kræver det kun at een sætter en permission forkert og så kan den læses af alle. Dermed også af folk der har adgang via gruppen. Risikoen er noget lavere med chroots. Det rigtige svar er at lave local-mounts med
mount --bind /path/to/dir /home/user/dir
eller benytte en FTPd som kan virtualisere chroot'et, pureftpd f.eks.
Nu har jeg heller ikke anbefalet, at man opretter gruppen med henblik på at tildele denne gruppe adgang til hele systemet. Ville man det, kunne man blot oprette alle brugere med root-rettigheder. Det er selvsagt formålet med en FTP-gruppe, at denne kun har adgang til de filer/mapper, som admin ønsker, samt at gruppen på de områder, man ikke ønsker gruppen skal have adgang til heller ingen rettigheder har.
Det er pease-of-cake at oprette chroot direkte i filen /etc/vsftpd.conf. Her kan man stille vsftpd til at logge alle brugere ind i en mappe til formålet, altså brugerens egen /home, hvorfra brugeren ikke kan gå højere op i træet. Men om du laver chroot i config-filen, eller du tildeler en gruppe rettigheder til et specielt ftp-område er det samme slæb. Du kommer ud i at skulle oprette politiker for alle brugere på systemet ved at bruge chroot, og du kommer til at give en evt. gruppe adgang til de områder du ønsker, med de rettigheder, du ønsker de skal have.
Stort set er der ingen forskel på de to metoder, når man er klar over, hvordan arbejdet med grupper foregår. Chroot er livrem og seler, som dog kun kan holde så længe elastikken ikke strækkes for langt med elendige adgangskoder.
