# Deb7, Webserv, Dateirechte verändern sich im Filezilla



## Grille (15. Juli 2014)

Hallo Leute,

Ich habe auf meinem Webserver fünf wichtige Benutzer:

1) "root" - den ich für den Direktlogin gesperrt habe und den ich selbst auch nur im Notfall nutzen will...
2) "worker" - der Benutzer den ich anstelle des root nutzen will, der aber nur Webarbeiten audführen soll - mit visudo habe ich ihm entsprechende Rechte übertragen
3) der Apache-user "www-data" der ja alle Besucher meiner Webseite repräsentiert und entsprechend eingesperrt werden muss.
4) ein FTP-Benutzer (FTP-Master) der generell alle angelegten Webseiten im Webseitenordner bearbeiten soll
5) viele FTP-Benutzer (FTP-user), welche generell nur eine der angelegten Webseiten bearbeiten und sehen darf

Ich glaube, dass ich nun leider nicht für jeden Benutzer klar sagen kann, wo er schreiben/lesen/und ausführen darf, also habe ich eine Gruppe erstellt "webbuild", in welcher ich alle "schreibberechtigten Benutzer eingesperrt habe.

Für die Dateien und Ordner der Webseiten habe ich dann www-data als Besitzer bestimmt, und als Gruppe die "webbuild"-Gruppe.

Rechte könnten dann so aussehen: 570 (www-data soll lesen und ausführen, alle in Gruppe "webbuild" sollen die Dateien lesen und schreiben können [brauchen die eigentlich das Ausführen???], und die "anderen" sollen nichts können.

Logge ich mich über FTP (FileZilla) ein (FTP-Master) und erstelle eine Datei, dann werden leider die Rechte der Datei verändert: Besitzer und Gruppe sind jetzt "FTP-Master" und nicht wie ich es brauche "www-data und webbuild"

Daher meine Frage:
Wie kann ich das Rechtesystem so aufbauen, dass die drei wichtigen Arbeits-Benutzer: "worker" - "FTP-Master" und "FTP-user" Schreibrechte haben, aber gleichzeitig die erstellten Dateien die Benutzer und Gruppen der übergeordneten Verzeichnisse erben.

Vielen Dank.


----------



## Nino14 (15. Juli 2014)

Hi,

ich würde mir bei einem so "komplexen" User-Setup mal ACL angucken.

Hier ein Link aus dem ubuntuuser wiki: http://wiki.ubuntuusers.de/ACL

Das könnte für dich ganz gut passen.

VG
Nino


----------



## ikosaeder (16. Juli 2014)

Zuerst einmal bin ich der Meinung, das man reines FTP überhaupt gar nicht mehr verwenden sollte.


			
				en.Wikipedia hat gesagt.:
			
		

> FTP does not encrypt its traffic; all transmissions are in clear text, and usernames, passwords, commands and data can be read by anyone able to perform packet capture (sniffing) on the network


Besser ist SFTP oder FTPS. 
Für sicheres SFTP gibt es hier eine Anleitung: https://calomel.org/sftp_chroot.html

Zu deinem Problem: Du kannst mit den bereits erwähnten ACL deinem www-data User Rechte auf alle Dateien gewähren, die die FTP User hochgeladen haben ohne das du Besitzer und Gruppe ändern musst. 
Alternativ könntest du einen Cronjob erstellen, das mit FTP hochgeladene Dateien automatisch alle X Minuten in dein Document Root verschiebt und die Rechte entsprechend setzt. Allerdings gibt es dann eine gewisse Verzögerung bevor neu hochgeladene Seiten sichtbar sind.


----------

