/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Readonly FTP user
Fra : Tom Frank


Dato : 14-06-02 13:46

Hej,

Jeg har fået til opgave at løse en problem omkring oprettelse af en readonly
brugere til en HPUX-unix.

Serveren er allerede en FTP-server hvor alle brugere kun har adgang til et
bestemt download område fx. /download og alle underkataloger. De har
rettigheder til download, men ikke upload.

Udfordring ligger nu i at oprette en FTP-bruger, som har adgang til hele
serveren med mulighed for download af filer, men ikke upload. Dvs. faktisk
ingen begrænsning på hvor i filsystemet der kan downloades fra. Uden at de
andre brugere bliver påvirket af det.

Det lyder mærkeligt men funktionen skal bruges til fejlsøgning via logfiler
og download af filer.

Kan det lade sig gøre og i så fald er der nogen som kan give en beskrivelse
på det.

Med venlig hilsen

Tom Frank




 
 
Ole Michaelsen (14-06-2002)
Kommentar
Fra : Ole Michaelsen


Dato : 14-06-02 14:17

Tom Frank wrote:
>
> Serveren er allerede en FTP-server hvor alle brugere kun har adgang til et
> bestemt download område fx. /download og alle underkataloger. De har
> rettigheder til download, men ikke upload.
>
> Udfordring ligger nu i at oprette en FTP-bruger, som har adgang til hele
> serveren med mulighed for download af filer, men ikke upload. Dvs. faktisk
> ingen begrænsning på hvor i filsystemet der kan downloades fra. Uden at de
> andre brugere bliver påvirket af det.
>
> Det lyder mærkeligt men funktionen skal bruges til fejlsøgning via logfiler
> og download af filer.

Det du har ovenfor lyder som enten anonym ftp, eller en form for
chroot'et ftp.

Det skal du ikke her. Opret en almindelig uprivilegeret bruger, og lad
vedkommende have '/' som hjemmekatalog. Vedkommende har naturligvis ikke
skriverettigheder til dette - eller nogen andre kataloger, saa laenge du
ikke opretter nogen (hvortil brugeren har skriverettigheder). Husk dog
at /var/tmp og /tmp normalt kan skrives i af alle. Ogsaa denne bruger.

Vaer ogsaa opmaerksom paa, at denne bruger vil kunne ssh'e til
maskinen, og have processer koerende m.v. Det vil vaere en helt
almindelig bruger, der kan ftp'e ind - men som er upriviligeret, og ikke
har noget hjemmekatalog.

Det burde ikke volde besvaer.

Eller har jeg misforstaaet opgaven totalt?

--
Ole Michaelsen, Darmstadt, Germany
http://www.fys.ku.dk/~omic

Tom Frank (14-06-2002)
Kommentar
Fra : Tom Frank


Dato : 14-06-02 14:47

Hej Ole

Tak for dit forslag.

Problemet er at man skal være sikker på at man ikke har nogen kataloger åbne
dvs. read/write access så kataloget bliver fyldt op med garbage. Derfor er
kravet at man ikke må uploade til serveren. Det sørger vores chroot'et
opsætning for brugere som kører under /download idag. Ideen er at selv om
man må oprette kataloger så sørger ftp for at du ikke kan uploade filer til
serveren.

Din løsning mangler lige det med at hvis du fylder fx. /tmp stopper din
maskine. Ideen er at brugeren må godt være nysgerrig og hente alverdens ting
ned fra serveren men ikke den modsatte vej, for det kan få fatale følger
bare der er en åbning i dit system.

Jeg kunne bare udvide FTP området for alle FTP brugere istedet for /download
idag. Men det får bare de problemer for de brugere som ikke kan navigere
rundt i systemet. For det andet så ved vi hvor vi har dem.

mvh Tom Frank


"Ole Michaelsen" <omic+usenet4@fys.ku.dk> wrote in message
news:slrnagjr6i.o1s.omic+usenet4@scharff.fys.ku.dk...
> Tom Frank wrote:
> >
> > Serveren er allerede en FTP-server hvor alle brugere kun har adgang til
et
> > bestemt download område fx. /download og alle underkataloger. De har
> > rettigheder til download, men ikke upload.
> >
> > Udfordring ligger nu i at oprette en FTP-bruger, som har adgang til hele
> > serveren med mulighed for download af filer, men ikke upload. Dvs.
faktisk
> > ingen begrænsning på hvor i filsystemet der kan downloades fra. Uden at
de
> > andre brugere bliver påvirket af det.
> >
> > Det lyder mærkeligt men funktionen skal bruges til fejlsøgning via
logfiler
> > og download af filer.
>
> Det du har ovenfor lyder som enten anonym ftp, eller en form for
> chroot'et ftp.
>
> Det skal du ikke her. Opret en almindelig uprivilegeret bruger, og lad
> vedkommende have '/' som hjemmekatalog. Vedkommende har naturligvis ikke
> skriverettigheder til dette - eller nogen andre kataloger, saa laenge du
> ikke opretter nogen (hvortil brugeren har skriverettigheder). Husk dog
> at /var/tmp og /tmp normalt kan skrives i af alle. Ogsaa denne bruger.
>
> Vaer ogsaa opmaerksom paa, at denne bruger vil kunne ssh'e til
> maskinen, og have processer koerende m.v. Det vil vaere en helt
> almindelig bruger, der kan ftp'e ind - men som er upriviligeret, og ikke
> har noget hjemmekatalog.
>
> Det burde ikke volde besvaer.
>
> Eller har jeg misforstaaet opgaven totalt?
>
> --
> Ole Michaelsen, Darmstadt, Germany
> http://www.fys.ku.dk/~omic



Ole Michaelsen (14-06-2002)
Kommentar
Fra : Ole Michaelsen


Dato : 14-06-02 15:00

Tom Frank wrote:
>
> Din løsning mangler lige det med at hvis du fylder fx. /tmp stopper din
> maskine. Ideen er at brugeren må godt være nysgerrig og hente alverdens ting
> ned fra serveren men ikke den modsatte vej, for det kan få fatale følger

Holde /tmp paa en partition for sig, forskellige fra den partition / er
monteret paa. Undlad at lade /tmp vaere en del af swap (kan ikke huske
om det er det standard paa HPUX).

Fylder brugeren /tmp sker der ikke noget.

Lav diskquota for brugeren. 0 byte, eksempelvis.

/Ole

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408886
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste