FTP-Zugang: Benutzerkonto mit "Read only" möglich?

[Weyoun]

Was mir bisher nicht klar geworden ist: Kannst du nicht mit Filezilla die Dateizugriffsattribute des Ordners (nicht der Datei) ändern? Wenn du dort "r-x" für "Gruppe" und "World" setzt und "rwx" für Owner (="Benutzer"), sollte außer dem Owner keiner Dateien Löschen und Hochladen können.

Werde ich nach der Arbeit mal testen, ob es auch für Ordner und nicht nur Dateien geht. Es bleibt aber die Frage, wie ich spezielle "Benutzer" oder "Gruppen" anlegen und denen spezielle FTP-Zugänge zurodnen kann.

Jeder Benutzer sollte mindestens einer (primären) Gruppe zuweisbar sein.

Wenn ich wüsste, WIE???

Die Zuweisung zum FTP entsteht, indem sich der Benutzer einloggt. Wenn dieser - d.h. izei diesem Fall sinnvollerweise du - dann eine Datei hochlädt, ist er Owner der Datei; wenn er ein Verzeichnis anlegt ist er Owner des Verzeichnisses. Wenn dann nur der Owner Schreibrechte auf das Verzeichnis hat, bedeutet das für alle anderen: kein Löschen, kein Anlegen von Dateien.

Das habe ich getestet: Mit meinem "Haupt-FTP-Zugang", mit dem ich auf alle Verzeichnisse draufkomme, habe ich einen Ordner erstellt und ein paar Dateien hochgeladen. Dann habe ich die Dateiatribute bei "Gruppen" und "World" auf "Readonly" gesetzt. Nur bei "Benutzer" habe ich nix geändert. Anschließend mit dem speziellen FTP-Zugang eingeloggt, der nur auf den einen speziellen Unterordner imn Webspace zugreifen darf und tadamm: Auch mit diesem konnte ich die Dateien löschen. Heißt das, ich muss auch bei "Benutzer" die Atribute auf "Readonly" stellen? Kann ich dann mit meinem Haupt-FTP-Zugang noch die Dateien löschen, oder hätte ich mich dann selbst ausgetrickst?

Was ist dann überhaupt der Unterschied zwischen "Benutzer", "Gruppe" und "World"???

[horch!]

Das habe ich getestet: Mit meinem "Haupt-FTP-Zugang", mit dem ich auf alle Verzeichnisse draufkomme, habe ich einen Ordner erstellt und ein paar Dateien hochgeladen. Dann habe ich die Dateiatribute bei "Gruppen" und "World" auf "Readonly" gesetzt. Nur bei "Benutzer" habe ich nix geändert. Anschließend mit dem speziellen FTP-Zugang eingeloggt, der nur auf den einen speziellen Unterordner imn Webspace zugreifen darf und tadamm: Auch mit diesem konnte ich die Dateien löschen. Heißt das, ich muss auch bei "Benutzer" die Atribute auf "Readonly" stellen? Kann ich dann mit meinem Haupt-FTP-Zugang noch die Dateien löschen, oder hätte ich mich dann selbst ausgetrickst?

Wie gesagt, entscheidend sind hier die Attribute auf dem Ordner, den du erstellt hast. Wenn du dort "Gruppen" und "World" auf "Readonly" setzen kannst, solltest du dein Ziel erreichen. "Benutzer" bei den einzelnen Dateien auf "Readonly" ändert in diesem Fall nichts - du selbst wie auch andere Accounts können die Dateien immer noch löschen.

. Es bleibt aber die Frage, wie ich spezielle "Benutzer" oder "Gruppen" anlegen und denen spezielle FTP-Zugänge zurodnen kann.

Die Zuordnung von Benutzern und Gruppen sind vom FTP unabhängig. Es sind Zuordnungen im Dateisystem, d.h. jede Datei und jedes Verzeichnis hat in den Metadaten einen Owner und einen Gruppen-Owner.

Außerdem gibt es natürlich noch die Zuordnung zwischen Benutzern und Gruppen - die müsstest du noch finden, falls du mit Gruppen arbeiten willst. Ist aber vielleicht gar nicht notwendig, wenn du nicht unterschiedlichen Benutzern unterschiedliche Rechte geben willst. Eine Standardgruppe, denen Benutzer zugeordnet sind, gibt es immer, oft "users" oder "Benutzer".

[Kat-CeDe]

Hi,
es wird ihm nur Strato helfen können. Das FTP die Möglichkeiten hat ist wohl unbestritten nur wie weit man es bei Strato einrichten kann ist jetzt die Frage. So wie ich es vermute gibt es da keine wirkliche Rechteverwaltung.

Ralf

[Wete]

1. Ja, und die Rechte hängen (nur und ausschließlich) am FTP-Benutzer-Konto (und nicht etwa an irgendwelchen Verzeichnissen).
2. Wenn Strato Dir die Option beim Anlegen eines FTP-Users nicht anbietet (all-inkl. bietet sie mir an), dann gibt es dafür keinen Workaround. Wie anderswo richtig geschrieben: .htaccess wird vom Apachen ausgewertet, das interessiert dem FTP-Server nicht im geringten.

Wete

[Wete]

Die Zuordnung von Benutzern und Gruppen sind vom FTP unabhängig. Es sind Zuordnungen im Dateisystem, d.h. jede Datei und jedes Verzeichnis hat in den Metadaten einen Owner und einen Gruppen-Owner.

Außerdem gibt es natürlich noch die Zuordnung zwischen Benutzern und Gruppen - die müsstest du noch finden, falls du mit Gruppen arbeiten willst. Ist aber vielleicht gar nicht notwendig, wenn du nicht unterschiedlichen Benutzern unterschiedliche Rechte geben willst. Eine Standardgruppe, denen Benutzer zugeordnet sind, gibt es immer, oft "users" oder "Benutzer".

Genau: Die Zuordnung der Nutzern zu einem Verzeichnis hat keine Auswirkung auf irgendwelche FTP-Accounts, sondern darauf, ob der FTP-Server selbst auf diesen Ordner zugreifen kann (und in welcher Art und Weise). Allerdings bin ich zugegebenermaßen kein ausgewiesener Linux-Nutzerrechte-Experte.

Wete

[horch!]

Die Zuordnung von Benutzern und Gruppen sind vom FTP unabhängig. Es sind Zuordnungen im Dateisystem, d.h. jede Datei und jedes Verzeichnis hat in den Metadaten einen Owner und einen Gruppen-Owner.

Außerdem gibt es natürlich noch die Zuordnung zwischen Benutzern und Gruppen - die müsstest du noch finden, falls du mit Gruppen arbeiten willst. Ist aber vielleicht gar nicht notwendig, wenn du nicht unterschiedlichen Benutzern unterschiedliche Rechte geben willst. Eine Standardgruppe, denen Benutzer zugeordnet sind, gibt es immer, oft "users" oder "Benutzer".

Genau: Die Zuordnung der Nutzern zu einem Verzeichnis hat keine Auswirkung auf irgendwelche FTP-Accounts, sondern darauf, ob der FTP-Server selbst auf diesen Ordner zugreifen kann (und in welcher Art und Weise). Allerdings bin ich zugegebenermaßen kein ausgewiesener Linux-Nutzerrechte-Experte.

Hm, wie gesagt, ich weiß nicht, wie die Hoster all das zusammen stricken, aber ich kenne es genau umgekehrt: so was wie "FTP-Accounts" gab's nicht, es gab einfach die dem System bekannten Accounts, und der FTP-Server hat die Filesystemrechte des Systems respektiert bzw. weitergegeben. Dazu muss er vermutlich als root gelaufen sein... an die Details erinnere ich mich nicht mehr, ist schon ziemlich lange her, dass ich einen FTP-Server betrieben habe.

[Wete]

Das kann durchaus sein, dass das auf einem Root-Server so läuft, das weiß ich nicht (wie gesagt: leider kein Linux-Userrechte-Experte), bei Webspace kann man üblicherweise keine Linux-Benutzer anlegen. Dafür aber diverse FTP-Accounts, denen man zuweist, auf welche Verzeichnisse sie Zugriff haben. Bei all-inkl kann ich dann außerdem bestimmen, was der User darf:

ftp.png

Das wäre, was Du bei Strato bräuchtest, Weyoun!

Grüße!
Wete

[Weyoun]

Wie gesagt, entscheidend sind hier die Attribute auf dem Ordner, den du erstellt hast. Wenn du dort "Gruppen" und "World" auf "Readonly" setzen kannst, solltest du dein Ziel erreichen. "Benutzer" bei den einzelnen Dateien auf "Readonly" ändert in diesem Fall nichts - du selbst wie auch andere Accounts können die Dateien immer noch löschen.

Habe jetzt die Atribute des Ordners analysiert: Bei "Gruppe" und "Word" war nur "Lesen" und "Ausführen" angeklickt, "Schreiben" war deaktiviert. Daran liegt es also nicht.
Mal eine Nebenfrage: Ausführen heißt, dass man z.B. ausführbare Dateien wie .exe ausführen kann, oder bedeutet das was anderes?

...Dafür aber diverse FTP-Accounts, denen man zuweist, auf welche Verzeichnisse sie Zugriff haben.

Stimmt soweit bei Strato. Allerdrings kann ich nur bestimmen, ab welcher Hierarchieebene der FTP-Nutzer Zuganmg bekommt und nicht, dass er z.B. Unter-Ordner 1, 3 und 5 auf der gleichen Ebene nicht sehen darf, aber Unter-Ordner 2,4 und 6 schon.

Bei all-inkl kann ich dann außerdem bestimmen, was der User darf:

ftp.png

Das wäre, was Du bei Strato bräuchtest, Weyoun!

Diese Auswahl habe ich leider nicht bei Strato. Ich werde dort dennoch mal anrufen und nachffragen.

[Wete]

Stimmt soweit bei Strato. Allerdrings kann ich nur bestimmen, ab welcher Hierarchieebene der FTP-Nutzer Zuganmg bekommt und nicht, dass er z.B. Ordner 1, 3 und 5 auf der gleichen Ebene nicht sehen darf, aber Ordner 2,4 und 6 schon.

Das ist üblich und meiner Meinung nach auch keine Einschränkung.

[horch!]

Wie gesagt, entscheidend sind hier die Attribute auf dem Ordner, den du erstellt hast. Wenn du dort "Gruppen" und "World" auf "Readonly" setzen kannst, solltest du dein Ziel erreichen. "Benutzer" bei den einzelnen Dateien auf "Readonly" ändert in diesem Fall nichts - du selbst wie auch andere Accounts können die Dateien immer noch löschen.

Habe jetzt die Atribute des Ordners analysiert: Bei "Gruppe" und "Word" war nur "Lesen" und "Ausführen" angeklickt, "Schreiben" war deaktiviert. Daran liegt es also nicht.
Mal eine Nebenfrage: Ausführen heißt, dass man z.B. ausführbare Dateien wie .exe ausführen kann, oder bedeutet das was anderes?

Bei Verzeichnissen bedeutet es das Recht zum Auslesen des Verzeichnisinhalts.

Wenn es das also nicht war, dann muss es wohl so sein, wie Wete sagt: den FTP-Server interessieren die Filesystemrechte wenig und er muss irgendwie eine eigene Account- und Rechteverwaltung umsetzen. Da bist du dann auf Gedeih und Verderb auf das angewiesen, was dir der Hoster anbietet.