ubuntuusers.de

Guten Tag,

aktuell muss ich folgende Konstellation unter Ubuntu abbilden

Ordner: /opt/tomcat/app/upload/Kunde1

Auf den Ordner müssen neben tomcat noch weitere User per SFTP zugreifen (die User dürfen ansonsten auf keinen weiteren Ordner zugreifen!)

Ich habe also eine Gruppe "kunde1" erstellt in der ich z.b. die MaxM und ChrisM hinzugefügt habe. Beide sind Mitglied der Gruppe kunde1

/opt/tomcat/app/upload wird besitzt von root:root mit 755 Der Ordner Kunde1 hat die Berechtigung tomcat:kunde1

1

Leider bekomme ich hier immer die Fehlermeldung: sshd[9515]: fatal: bad ownership or modes for chroot directory "/opt/tomcat/app/upload/kunde1

/etc/ssh/sshd_config

1
2
3
4
5

Match Group kunde1
   ChrootDirectory /opt/tomcat/app/upload/kunde1
   AllowTCPForwarding no
   X11Forwarding no
   ForceCommand internal-sftp

Funktionieren würde es nach meinem Verständnis für einzelne User wenn ich Sie zum Besitzer des Ordners mache, das hilft mir aber nicht wenn mehrere User auf denselben Ordner zugreifen sollen

Schönen Sonntag.

Wenn ich mich nicht teusche liegt dein Problem hier:

/opt/tomcat/app/upload wird besitzt von root:root mit 755 Der Ordner Kunde1 hat die Berechtigung tomcat:kunde1

Denn wie du bereits sagst, der Ordner gehört dem Nutzer und der Gruppe "root". Daraufhin willst du mit einer Gruppe zugreifen, die keinerlei hat. Die 5 steht für die Rechte: Lesen und Ausführen.

Wie wäre es, wenn du den Ordner der Gruppe "Kunde1" oder gar einem Nutzer dort zuteilst? Mal abgesehen, dass du unter Umständen die Berechtigung der Gruppenbesitzer in eine 7 oder oder 6 ändern willst.

Also, ich habe zwar noch nie die CHROOT-Option in der FTP-Server Konfiguation verwendet, aber aus meiner allgemeinen FTP-Erfahrung heraus würde ich ebenfalls behaupten, daß für die Benutzer (wenn es ein Upload-Verzeichnis sein soll) die Rechte: Lesen, Schreiben und Ausführen/Durchsuchen notwendig sind. also in deinem Fall ein 775 für das Verzeichnis /opt/tomcat/app/upload/Kunde1.

Was auch berücksichtigt werden muß, ist daß die User während des Datei-Zugriffes die Gruppe Kunde1 auch effektiv (und nicht nur zusätzlich) aktiv haben müssen. Im Gegensatz zu Windows bei dem die Erlaubnis und Verbotsregeln aller Gruppen (wobei Verbotsregeln Vorrang haben) denen ein User angehört ausgewertet werden, wird bei Unix i.A. (sofern nicht spezielle ACL-Erweiterungen aktiv sind) nur die aktuelle UID und GID der Session ausgewertet. (Es reicht also nicht aus, wenn die User in die Gruppe Kunden1 zusätzlich {quasi als optionale Gruppe} aufgenommen wurden.)

Viele Grüße

Thomas G.M. Mainka