Apache a práva k FTP

dotazník

Apache a práva k FTP
« kdy: 02. 10. 2014, 15:30:36 »
Ahoj, moc prosím o radu, mám CentOS, na něm Apache a documentroot je /var/www/html
vsftpd a pod html různé adresáře pro různé usery.
Apache běží pod apache userem.
Mějme nyní uživatele test, který má virtualhost ve /var/www/html/test

Pokud tento user něco vytvoří na ftp nebo naopak v cms, buď na ftp nebo v cms poté nebude mít dostatečná práva. Jak mám toto prosím řešit?

Moooc děkuji!


dotazník

Re:Apache a práva k FTP
« Odpověď #1 kdy: 02. 10. 2014, 15:45:19 »
Ještě upřesním,

mám to správně nastaveno g+s a pokud user vytvoří na ftp nový adresář, tento má vlastníka user:apache, ale problém je, že nemá 755, tato práva neinherituje, takže user apache, i když je ve správné skupině má smůlu. :(

Dzavy

Re:Apache a práva k FTP
« Odpověď #2 kdy: 02. 10. 2014, 16:03:54 »
Nebezpecna prasarna. FTP zakazat, zrusit, vypnout, odinstalovat. Telnet tam predpokladam nemas?

Pro kazdeho uzivatele zalozit vlastni systemovy ucet, na prenos souboru bude SCP/SFTP a do apache doplnit mod_ruid (http://sourceforge.net/projects/mod-ruid/) nebo jinou alternativu, aby jednotlive virtualhosty "bezely" s pravy uzivatelu, kterym patri.

dotazník

Re:Apache a práva k FTP
« Odpověď #3 kdy: 02. 10. 2014, 16:09:36 »
Díky a chystám se na to, ale nyní potřebuji urgentně vyřešit jednoho uživatele a přidělit mu práva, jde to tedy nějak? Co jsem tak četl, spoustě lidí to tak běželo. Vámi navrhované řešení budu aplikovat, ale nevyřeším to nyní do večera. :)

Daniel

Re:Apache a práva k FTP
« Odpověď #4 kdy: 02. 10. 2014, 16:23:21 »
Tvuj problem s pravy vyresi linuxove ACL. Pro urcity adresar/soubor muzes urcitemu uzivateli nastavit specialne co potrebujes. Pokud jsem te tedy pochopil dobre :)
http://www.root.cz/clanky/acl-rozsirena-nastaveni-prav-v-linuxu/
http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-pristupova-prava-a-acl

BTW. Souchlasim, ze FTP neni moz bezpecny protokol, osobne bych ho vyvaroval. SFTP!


Dzavy

Re:Apache a práva k FTP
« Odpověď #5 kdy: 02. 10. 2014, 16:24:54 »
Nejak nevim, jestli je Ti jasny, ze ty uzivatele si muzou navzajem cist soubory?

Jinak co hledas je zrejme file_open_mode a local_umask v konfiguraci vsftpd...

Dotaznik

Re:Apache a práva k FTP
« Odpověď #6 kdy: 02. 10. 2014, 16:53:20 »
No, on ten problem neni jen v tom vsftpd, mohu nastavit local_umask, ale potom bude ten samy problem s vytvorenim apachem. Predstavoval jsem si nejlepe jen aby nove vytvorene slozky dedily napriklad 660. :)

Dotaznik

Re:Apache a práva k FTP
« Odpověď #7 kdy: 02. 10. 2014, 17:09:28 »
Po pravde netusim jak by si mohli vzajemne neco cist pri pristupu pres ftp s nastavenym chroot k nim do adresare a nastavenem /sbin/nologin

Pomohlo by mi dedeni prav na adresarich, nechapu jak se bez nej muze nekdo obejit. :)

 :)
Nejak nevim, jestli je Ti jasny, ze ty uzivatele si muzou navzajem cist soubory?

Jinak co hledas je zrejme file_open_mode a local_umask v konfiguraci vsftpd...

Dzavy

Re:Apache a práva k FTP
« Odpověď #8 kdy: 02. 10. 2014, 17:18:40 »
Po pravde netusim jak by si mohli vzajemne neco cist pri pristupu pres ftp s nastavenym chroot k nim do adresare a nastavenem /sbin/nologin

No a co kdyz si uzivatel A nahraje na svoje FTP PHP soubor, kterej bude cist soubory ze slozky uzivatele B? Protoze to pobezi s pravama apache, tak se mu to povede, ne?

Dzavy

Re:Apache a práva k FTP
« Odpověď #9 kdy: 02. 10. 2014, 17:23:53 »
No, on ten problem neni jen v tom vsftpd, mohu nastavit local_umask, ale potom bude ten samy problem s vytvorenim apachem. Predstavoval jsem si nejlepe jen aby nove vytvorene slozky dedily napriklad 660. :)

Apache samozrejme taky respektuje umask, viz napr. http://stackoverflow.com/questions/16672429/how-to-set-default-permissions-for-new-files-created-with-php

Dotaznik

Re:Apache a práva k FTP
« Odpověď #10 kdy: 02. 10. 2014, 17:33:02 »
To bych povazoval spis za teorii, uzivatel A by musel vedet o existenci uzivatele B. Ale teoreticky mate pravdu. Cely ten system predelam  Prakticky superrychle reseni na jeden command asi neexisruje.

 
Po pravde netusim jak by si mohli vzajemne neco cist pri pristupu pres ftp s nastavenym chroot k nim do adresare a nastavenem /sbin/nologin

No a co kdyz si uzivatel A nahraje na svoje FTP PHP soubor, kterej bude cist soubory ze slozky uzivatele B? Protoze to pobezi s pravama apache, tak se mu to povede, ne?

Dzavy

Re:Apache a práva k FTP
« Odpověď #11 kdy: 02. 10. 2014, 17:38:35 »
To bych povazoval spis za teorii, uzivatel A by musel vedet o existenci uzivatele B. Ale teoreticky mate pravdu. Cely ten system predelam  Prakticky superrychle reseni na jeden command asi neexisruje.

To by prave nemusel - co mu brani v tom zjistit si aktualni fyzickou cestu k souboru a vypsat si adresare o uroven vyse?

Ne to fakt neexistuje, nejbezpecnejsi reseni je vubec se do toho nepoustet naostro (s uzivateli), kdyz tomu nerozumim...