Bonjour,
 
Je sens que je vais etre ridicule avec ce sujet mais bon...on a tous été débutant un jour ! Voilà j'ai installé proftpd pour que les webmasters puissent accéder au dossier /data/www et uniquement celui-ci ! J'ai donc crée un groupe webmaster et les users webmaster-1 et webmaster-2, je veux que tous les utilisateurs du groupe webmaster aient les droits en lecture/écriture sur /data/www mais qu'ils n'aient aucun droit sur le reste du système du fichier...Comment faire ceci !?
 
Merci d'avance,
RedVivi

chown -R :webmaster /data/www
chmod -R g+rwx /data/www
 
La 1ère commande indique que le groupe propriétaire de /data/www et toute sa sous arborescence ( option -R ) sera "webmaster"
La 2ème indique que le groupe propriétaire ( "g" ) aura les droits de lecture / écriture / exécution ( "rwx" ) sur /data/www et toute sa sous arbo ( -R )

Mais pour ce qui est du propriétaire du dossier ? il n'y en a pas ? Avec ce que tu m'a conseiller les personnes ne pourrons pas remonter l'arborescence au delà de /data/www ?

ca depend des droits du repertoire parent.

Oulà ça devient complexe.....bon, alors il faut que n'importe quel utilisateur ait accès à /data/ et son arborescence sauf ceux du groupe webmaster qui eux, doivent avoir les droits de lecture/écriture sur /data/www et aucun droit ailleur.

a partir du moment ou un grp ou user a un accès en lecture a un rep il y a forcement acces en lecture au reptoire parents.
Donc ton groupe qui a comme acces rwx sur /data/www a forcement le droit de lecture sur /data

Il y a un moyen de faire autrement ? Je veux dire d'interdire la lecture du répertoire parent? On ne peut pas confiner l'utilisateur dans un répertoire sur un serveur ftp ?

si tu peux, regarde du cote de chroot

 
FAUX
 
pour accéder à un sous répertoire, un utilisateur / groupe n'a besoin QUE du droit d'EXECUTION sur le(s) dossier(s) parent(s)
Le "x" signifie "exécuter" pour un fichier, mais "parcourir" pour un dossier en gros.
 
Pour le propriétaire, je ne sais pas, cela dépend de ton "environnement", mais par exemple :
/data -> proprio root, groupe proprio webmaster et droits rwx__x___
/data/www -> proprio root, groupe proprio webmaster et droits rwxrwx___
...
 
Pour le reste de ton arborescence, en principe tu es tranquille, car tu dois avoir défini dans la conf de ton proftpd le répertoire accessible via ftp, donc cela fait comme un chroot, les utilisateurs, via ton ftp, ne pourront pas sortir de ce répertoire.
Tu ne laisse pas accessible toute ton arborescence par ftp hein ...

heu...pour moi la seule config de proftpd qu'il y a c'est le /etc/passwd où il y a le home directory des users....maintenant ça m'a paru bizarre qu'il y ait que celà...Enfin avec ton système fighting_falcon, les users pourront remonter sur /data si j'ai bien compris ?

 
oui mais sans pouvoir lister le contenu du dossier /data ...
 
Après je ne fais que répondre aux questions que tu poses, je n'ai pas tout ton environnement en tête et monter un serveur ftp, ça se fait en réfléchissant bien à la sécurité ...

Tu sais c'est simplement mettre /data/www en accès complet et bloquer les personnes dans leur répertoire ou les empecher de voir le reste...ça se limite ici.

ce que je voulais dire c'est que ok avec mon truc, ton groupe webmaster ne pourra pas lire le contenu du dossier /data, il n'aura tous les droits que dans le dossier /data/www
 
maintenant si ta config ftp n'est pas suffisemment bloquante, rien n'empêchera un utilisateur, depuis le dossier /data/www de faire un :
cd ../.. (retour à la racine)
cd bin (arrivée dans /bin)
ls (liste des binaires ...)
put ma_merde.bin
 
...
 
 
Donc protéger au niveau des droits de dossiers / fichiers c'est bien, mais pas suffisant ...

il a plus simple que les chroot, dasn la config de proftpd, on peut forcer l'utilisateur a rester dans son $HOME avec

et apres, il suffit de dire mettre le repertoire /data/www comme repertoire $HOME a tous les users du groupe :webmasters (et les chmod + les chown)

exact, je me disais bien que c'était possible sans faire de tout le tralala de chroot...
j'arrivais pas à remettre la main dessus.