Nutzerrechte bei FTP-Server für multiple Nutzer

[Kongolan]

Hallo Leute,

ich habe zur Zeit ein Problem beim Einrichten von meinem FTP-Server.

Ich versuche zur Zeit für mehrere Benutzer einen FTP-Server einzurichten, welche Serverdatein verwalten. Dabei handelt es sich hauptsächlich um einen Minecraft Server, welcher mit dem Benutzer Minecraft ausgeführt wird. Das Passwort dafür sollte nur ich haben.

Es fällt es mir schwer virtuelle Benutzer zu erstellen. Ich hatte häufig das Problem, dass ich keine Schreibrechte habe, wenn ich Daten von meinem Rechner direkt hochgeladen habe oder wenn Dateien von dem ausführenden Benutzer modifiziert wurden. Ich wollte nicht alles chmoden, deshalb ist meine generelle Frage, wie genau man diese Benutzer anlegen soll.

Aktuell verwende ich vsftpd und ich hatte auch schon mit proftpd probiert. Generell sollten die Benutzer jeweils in ein Verzeichnis eingesperrt werden, die Struktur ist:dgfhz

home/minecraft
-> server1
-> server2
...

Dabei sollten mehrere virtuelle Benutzer eingerichtet werden für jeden Server.

Ich glaube einfach, ich verstehe die Gruppenoption bei Linux einfach nicht

Ich hoffe ihr könnt mir helfen.

- Kongolan

 

[eraser]

proftpd mit chroot laufen lassen und in /etc/passwd das Homeverzeichnis setzen für den jeweiligen User.

 

[electric.larry]

Ich habe hier auf einer Box ein VSFTPD Setup mit virtuellen Benutzern, das könnte bei deinem Szenario auch funktionieren.

VSFTPD kannst du entweder für System-Benutzer oder virtuelle User konfigurieren. Im ersten Fall hat dann jeder Benutzer deines Systems einen FTP Zugang zu seinem Homedir, im Zweiten werden Benutzer über eine htpasswd Datei definiert und Gruppen sowie Home Directories in einem Group-File vergeben. So kannst du dann auch mehrere FTP Benutzer in das selbe Verzeichnis "zwingen".
Du musst dann aber sicherstellen, dass der Systembenutzer ftp Lese- und Schreibrechte im gemeinsamen Verzeichnis hat, weil alle die über FTP auf deine Box connecten dann als User ftp unterwegs sind.

Die Anleitung, mit der ich das bei mir konfiguriert hab, findest du hier:

http://howto.gumph.org/content/setup-virtual-users-and-directories-in-vsftpd/

<3

 

[Der_W]

Unter Linux?
Arbeiten mit dem SFTP-Subsystem und die User im Verzeichnis einsperren. Die werden alle in eine Gruppe (z.B. SFTP) reingekloppt und dürfen dann NUR SFTP. habe das hier auch schonmal im Board gepostet, schau einfach mal meine History durch

Du sparst dir die Zwischenschicht FTP und irgendwelche virtuellen User, wo du dann mit Schreibrechten rumwühlen musst.

 

[Kongolan]

@Der_W:
Das Problem ist, dass ich keinen Webserver oder sonstiges betreiben will, wo alle auf öffentliche Daten zugreifen sollen. Ich brauche anlegbare Nutzer, die nur Zugriff auf den jeweiligen Server haben und das können mehrere werden, die auch alle verschiedene Verzeichnisrechte haben sollten. Nur die Schreibrechte waren mein Problem...

@electric.larry:
Ich schau mir übrigens den Link nochmal genauer an.

 

[Der_W]

@Der_W:Das Problem ist, dass ich keinen Webserver oder sonstiges betreiben will, wo alle auf öffentliche Daten zugreifen sollen. Ich brauche anlegbare Nutzer, die nur Zugriff auf den jeweiligen Server haben und das können mehrere werden, die auch alle verschiedene Verzeichnisrechte haben sollten. Nur die Schreibrechte waren mein Problem...

Webserver?

Nö, du legst dir ganz normal neue Linux-Nutzer an. Ich würde mir das dann als Shellscript fertig machen.

Ich habe derzeit folgenden Aufbau:
[src=text]drwxr-xr-x 6 root root 4096 Dez 5 01:41 ..
drwxr-xr-x 11 der_w der_w 4096 Apr 18 00:07 ORDNER1
drwxr-xr-x 4 der_w der_w 4096 Mär 16 21:12 ORDNER2
drwxr-xr-x 27 der_w der_w 4096 Apr 17 20:48 ORDNER3
drwxr-xr-x 2 ts-lan sftp-user 4096 Feb 5 18:40 ORDNER4
drwxr-xr-x 2 der_w der_w 4096 Apr 21 20:30 ORDNER5
drwxr-xr-x 67 der_w der_w 16384 Apr 17 19:05 ORDNER6[/src]
Jeder neu angelegte User ist in der Gruppe sftp und das home-dir ist das Verzeichnis darüber, welches root gehört.
In ORDNER4 hat ts-lan Schreibrechte, im Rest nur Leserechte. Den Inhalt von jedem Ordner kann jeder einsehen, aber nicht schreiben.

 

[Kongolan]

Ist es nicht generell sinnvoll einfach jedes eingesperrte Verzeichnis mit eine Gruppe zu geben?

Ausführender Nutzer der Dateiein muss aber immer User minecraft sein.

Die Struktur wäre dann:
/home/minecraft/
- > server1 (gruppe server1)
- > server2 (gruppe server2)

Problem ist nur, ich will keine echten Benutzer anlegen, maximal virtuelle.

Bis jetzt haben mir die links auch nicht komplett weitergeholfen, da die meisten Tutorials sich hauptsächlich auf Webserver für Webseiten oder allgemeinen Datentausch beziehen und nicht auf wirkliche Spieleserver, die in einem Programm direkt ausgeführt werden.

Hauptproblem ist einfach, wem sollen die Dateien gehören und ich verstehe Gruppen bei Linux einfach nicht.

Übrigens nutze ich Ubuntu, falls irgendwie relevant.

 

[Der_W]

Was hast du gegen "echte" Linux-User? Und was hast du jetzt eigentlich vor...

Du hast jeweils unterschiedliche Teams für die eigenen Server, und die sollen auch jeweils nur in den eigenen Server-Ordnern Dateien hochladen.

Du führst den ganzen Quark dann aus. Habe ich das richtig verstanden?

 

[Kongolan]

Richtig, ich habe unteschiedliche Admins, die überhaupt gar nichts von einander wissen, aber User "minecraft", führt alle server 1-4 aus und ist der einzig richtige User. Die Admins wechseln sehr häufig und sollen auch wirklich nur auf ihren eigenen Server Zugriff haben, dort aber die Daten verwalten, die ausgeführt werden. Da es sich um einen Spiele-Server handelt, wird auch ständig von User "minecraft" die Daten neugeschrieben geupdatet und soweiter, während natürlich die Admins die Dateien auch verändern sollen. Der Server läuft prinzipiell 24/7.

 

[electric.larry]

Kannst du dem Tutorial bzlg. virtueller VSFTPD User grundsätzlich folgen?

Wenn VSFTPD eingerichtet ist, musst du die Verzeichnis-Rechte folgend setzen. Ich gehe von dieser Verzeichnis-Struktur aus:

/var/minecraft/group1
/var/minecraft/group2

Für jede Gruppe gibt es einen Admin (= virtueller Benutzer) der nur im Verzeichnis seiner Gruppe schreiben/lesen soll können. Jede Datei, die vom Ftp Benutzer in eines der groupX Verzeichnise kopiert wird, soll vom Systembenutzer "minecraft" und vom jeweiligen Benutzer der über Ftp eingeloggt ist, ausführbar, lesbar und beschreibbar sein.

1.) Erstell das Minecraft Hauptverzeichnis. Stell sicher, dass der Owner nicht der Systembenutzer ftp ist.

[src=bash]
mkdir /var/minecraft
chown root:root /var/minecraft
chmod 555 /var/minecraft
[/src]

2.) Erstelle das Gruppenverzeichnis und setze Setgid Mode. Die Gruppe des Verzeichnisses wird dadurch auf jede neue Datei darin übertragen. Owner muss der Systembenutzer "ftp" sein weil alle virtuellen Benutzer die Rechte dieses Systembenutzers haben. Die virtuellen Ftp Benutzer können aber nur innerhalb ihres Home-Dirs ihre Rechte "nutzen".

[src=bash]
mkdir /var/minecraft/group1
chown ftpinecraft /var/minecraft/group1
chmod 2775 /var/minecraft/group1
[/src]

3.) Leg einen virtuellen Benutzer für VSFTPD an, der in das Verzeichnis /var/minecraft/group1 gechrootet wird. Siehe Tutorial aus meinem vorherigen Post.

Wenn du über die Shell Dateien in eines der groupX Verzeichnisse kopierst, stell sicher, dass du Owner und Gruppe wieder korrekt setzt. Also z. B. für das gesamte Dir mit

[src=bash]chown -R ftpinecraft /var/minecraft/group1[/src]

Viel Glück

 

[Der_W]

Mal so unwesentlich gefragt... hältst du es für klug, User-gesendete Dateien ohne vorherige Prüfung auszuführen?

 

[electric.larry]

@Der_W: Nein, du hast recht, +x braucht der minecraft Server wahrscheinlich nicht. Besser wär wohl

[src=bash]
chmod 2664 /var/minecraft/group1
[/src]

Was wär dein Vorschlag?

 

[Der_W]

Da ich nicht weiß wie die aufgebaut sind und was da hochgeladen wird... Gibts da ein include-file, in denen die spezifiziert werden? Oder will der TS ernsthaft User Shellscripte ändern lassen und dann selbst ausführen - am besten ohne Prüfung?

Wie funktioniert das bei Minecraft-Servern?

 

[electric.larry]

Afaik liegen dort plaintext Config Files die der Minecraft Daemon liest.

 

[Kongolan]

Der Server wird über ein Web-Interface gestartet oder gestoppt. Deshalb sollten alle Admins auch keine execute-Berechtigung haben! Sie müssen wirklich nur config-files ändern oder Daten hochladen, welche dann vom user "minecraft" gestartet werden.

Ansonsten schon mal danke an euch beide, da ich jetzt endlich einen Überblick über die Berechtigungen habe und ich wohl nicht, um sie herumkommen kann, indem ich nur vsftpd richtig konfiguriere.

 

[drfuture]

Wenn du einen MineCraft-Server betreibst... hast du die Sicherheitslücke mitbekommen http://www.heise.de/security/meldun...cht-Minecraft-Server-zu-Freiwild-2610963.html ?
Bzw. hast hoffentlich mind. die Version 1.8.4 installiert?

vsftp sollte nebenbei dann auch auf ftps konfiguriert werden und Verbindungen über ftp verbieten. Bei FTP werden Benutzer + Passwort im Klartext über das Netzwerk / Internet übertragen.

 

[Kongolan]

Wenn du einen MineCraft-Server betreibst... hast du die Sicherheitslücke mitbekommen http://www.heise.de/security/meldun...cht-Minecraft-Server-zu-Freiwild-2610963.html ?
Bzw. hast hoffentlich mind. die Version 1.8.4 installiert?

Ja, habe ich, die falsch-gesendeten Daten crashen aber nur den Server. Außerdem funktioniert es bei Spigot Mod Servern nicht.

Über sftp weiß ich auch Bescheid. Ich werde mich jetzt mal dransetzen und alles ausprobieren, hatte wegen der Uni noch nicht so viel Zeit dafür.

Edit: Heißt wohl echt FTPS

 

[electric.larry]

SFTP oder FTPS, das ist hier die Frage ;P

 

[Der_W]

SFTP - FTP über SSH
FTPS - FTP mit verschlüsselten Login-Daten

Bei ersterem ist der Verkehr vollständig geschützt, beim zweiten nur die Login-Daten - der Verkehr erfolgt PlainText.

 

[electric.larry]

Kann man vsftpd so konfigurieren, dass er sftp über einen anderen Port als 22 ermöglicht, oder würd man dann sowieso ohne vsftpd arbeiten und wieder auf die nicht-virtuellen Systembenutzer Variante umsteigen?