Configuration proFTPd

[IvanleFou]

Si vous en avez marre de mes questions vous le dites

Donc je suis en train de config mon FTP. Il marche, ca va pas mal. Pour un peu de sécurité j'ai chrooté les utilisateurs dans /mnt/archive/ftp. Cependant pour moi je voudrais me donner acces a la partie web qui est dans /mnt/archive/www mais du coup ca ne marche pas, surement a cause du chroot.

Z'auriez pas une idée a tout hasard

[nico8313]

Coucou Ivan

Beh ! il faut dire que pour moi tu deviens plus PRO Linux que moi sur ce coup là ! 
Je vais pas pouvoir t'aider 

Il falloir faire appel aux spécialistes Jip, Elgrande, Koubi, et voir même Laurent, ou Dudu   

[jip]

Je crois me rappeler que tu peux chrooté par groupe, donc il suffirait que tu n'appartienne pas aux même que lers utilisateurs externes.

Par contre tu verras que pour ton espace web, tu risque être confronté aux pbs de droits habituels dans ce genre de cas.

En effet en FTP tu seras owner de ce que tu transfère pas ce biais, mais si tu as des fichiers créés ou ajoutés par PHP par exemple, ça s'exécutera avec l'utilisateur standard d'pache qui est www-data (idem pour le groupe).

Une 1ère solution un peu brutale consiste a donner les droits au groupe www-data (à ne pas confondre avec le user www-data) en 775, et à te rajouter dans ce groupe. Mais y'aura toujours des fichiers avec des owner diférents.

L'autre consiste à passer par des alias FTP (mais ça nécessite la mise en place d'une BDD d'autentification).

Y'a aussi la solution de la config en VirtualHost.

[Florimond]

tiens tiens tiens, ça sent le déjà vu...

("sentir le déjà vu" c'est fort quand même...  )


me semble que koubi s'est bien amusé avec ce genre de soucis...

[IvanleFou]

Jip > je pense passer par la BDD d'authetification car je vais avoir une quanrantaine de comptes, se sera plus simple a gérer je pense. je vais donc m'orienter vers ca :)

[jip]

comme t'as l'air lancer à bloc sur un serveur, un site qui devrait t'aider et te plaire : http://www.howtoforge.com

pour le ftp, c'est là : http://www.howtoforge.com/howtos/ftp

et en particulier peut-être celui là : http://www.howtoforge.com/virtual-hosti ... buntu-8.10

et quelques infos par là : http://www.proftpd.org/docs/howto/index.html

[IvanleFou]

Hoho ca fait beaucoup d'infos tout ca Je vais prendre le temps d'y regarder

[yarma]

tu as aussi une autre solution: tu fais un "mount -o bind /mnt/archive/www /mnt/archive/ftp/rep_de_ton_user/www"
il te suffi juste de mettre ton user dans le groupa "www-data" ou "apache" (suivant ta config)
ceci aura pour effet de monter le dossier /mnt/archive/www dans un sous-dossier du dossier de ton user, et te donnera donc un accès complet au rep www

sinon, tu cherches à mettre en place quel type de structure?

[jip]

Après quelques nouveaux essais fait en concertation avec Koubi, on s'est même orienté vers l'utilisation de suPHP.

Comme indiqué dans ce tuto : http://doc.ubuntu-fr.org/suphp

une solution qui résout tous ces pb et assure un meilleur niveau de sécurité consiste à l'utilisation conjointe de suPHP + PHP en cgi, proftp avec alias utilisateurs gérés par mysql, TLS & SSL.

Les autres tutos : http://doc.ubuntu-fr.org/proftpd_et_mysql et http://doc.ubuntu-fr.org/proftpd_et_tls_ssl

Avec quelques scripts paramétrés, ça devrait se gérer assez facilement et sans galère de droits et de proprio.

De quoi monter un serveur d'hébergement mutualisé quoi ...

A toi de jouer ! 

[IvanleFou]

je crois que je vais jeter proftpd pour passer a pureftp. Proftpd m'a fallu 2 jours pour arrivé a le faire a peu pres marcher et encore j'ai pas résolu mes problemes de droits d'acces et j'ai pas l'authentification par SQL. Pure en 1h j'ai SQL qui marche et c'est pas mal. Bon j'ai pas non plus resolu mes droits d'acces aux fichiers mais il a l'air d'etre un peu moins penible deja.

[jip]

oui vsftp bien et simple aussi ...

[IvanleFou]

Voila j'ai mis en place Pure FTP avec 2 users: un qui accede uniquement au ftp avec l'UID et le GID du ftp et l'autre uniquement au web avec l'UID et le GID de mon compte ivan.

Apres pour ne pas avoir de probleme de droits d'acces entre apache et mon compte quand je cree des fichiers:
umask pour www-data et ivan réglé a 002 et j'ai mis ivan dans le groupe www-data et www-data dans ivan.
En plus comme j'ai fait mon crontab sous le user ivan il ne doit plus avoir de probleme pour creer des fichiers dans la partie web

Bon maintenant faut que je bricole encore un peu car on peut tout effacer dans le repertoire upload du FTP, meme les fichiers du root


Ca comment a rentré petit a petit :D

[koubi89]

oui vsftp bien et simple aussi ...

oui je confirme apres quelques dizaine de jour de galere lol avec proftp

---

message fusionné: [time]1247072508[/time]

---

Voila j'ai mis en place Pure FTP avec 2 users: un qui accede uniquement au ftp avec l'UID et le GID du ftp et l'autre uniquement au web avec l'UID et le GID de mon compte ivan.

Apres pour ne pas avoir de probleme de droits d'acces entre apache et mon compte quand je cree des fichiers:
umask pour www-data et ivan réglé a 002 et j'ai mis ivan dans le groupe www-data et www-data dans ivan.
En plus comme j'ai fait mon crontab sous le user ivan il ne doit plus avoir de probleme pour creer des fichiers dans la partie web

Bon maintenant faut que je bricole encore un peu car on peut tout effacer dans le repertoire upload du FTP, meme les fichiers du root


Ca comment a rentré petit a petit :D

tu as bien bossé deja...   tu as possibilité d'enfermer tes users dans leur home respectif il me semble une simple ligne a decommenter dans le fichier conf de pureftp...

sinon j'ai pas fait tout a fait pareil,pour chacun de mes user j'ai crée un compte sur le serveur mais en /bin/false (l'utilisateur a acces en ftp a l'ordi mais ne peut pas se connecter en terminal via ssh&compagnie)  chacun des dossiers user contient un www;niveau droit les "homes" appartiennent a chaque users et peuvent etre gerés par www-data (apache/php) ensuite j'ai chrootés tout le monde (un peu a la barbare) dans leur home respectifs pour qu'il ne voyent que leur dossier...via le ftp

ensuite tu peux pratiquement tout gerer via sql avec annuaire ldap etc....
 

[IvanleFou]

Sur mon FTP je n'ai pas de partie privative: tout le monde voit les fichiers de tout le monde :D DOnc je ne veux pas de home pour les comptes.

Un truc que j'ai pas encore trouvé sur pure c'est pour empecher les user linux de se connecter sur le FTP. Avec mon comptelinux "ivan" je peux me connecter a mon home et ca je voudrais le virer.

[koubi89]

Sur mon FTP je n'ai pas de partie privative: tout le monde voit les fichiers de tout le monde :D DOnc je ne veux pas de home pour les comptes.

Un truc que j'ai pas encore trouvé sur pure c'est pour empecher les user linux de se connecter sur le FTP. Avec mon comptelinux "ivan" je peux me connecter a mon home et ca je voudrais le virer.

opk dans ce cas la oui...

pour ton probleme il me semble qu'il faut creer un fichier "blacklist"  (d'apres mes souvenirs) je vais te chercher les infos