[linux-ileri] Re: virtual ftp users

---------

New Message Reply About this list Date view Thread view Subject view Author view

From: Baris Metin (baris.metin@frontsite.com.tr)
Date: Wed 22 Jan 2003 - 01:31:17 EET


Tue, Jan 21, 2003 at 11:51:50PM -0200 , Enver ALTIN :
> Merhaba,

Selamlar,

> Teknik olarak mumkun, ama FTP icin mantiksiz gorunuyor. FTP, sadece
> dosya upload/download etmek icin degildir. FTP-daemon, dosya sistemi
> seviyesinde erisim denetimi de yapar. Root yetkilerini, login sirasinda
> belirttiginiz kullanicinin yetkilerine dusurur ve sizin baglandiginiz
> sunucudaki eliniz olur.

Tum sanal kullanicilarinin bir sitem kullanicisi haklari ile sisteme
eristigini dusun. Ev dizinleri de bu sistem kullanicisinin icerisinde
olsun. Erisim denetimi ile ugrasmana gerek kalmaz. Sen (programci
olarak) islemlerinin hepsini sistem kullanicisi ile yaparsin.

O zaman neden sanal kullanicilar var tum kullanicilar tek bir kullanici
hesabi ile ftp yapsinlar diye dusunulebilir (belki :). Ama ftp sunucunda
bu sanal kullanicilari chrooted olarak calistirirsan (yalnizca bir
yontem :) hepsi sistem kullanicisinin dizininde kendilerine ozel olan
ev dizinlerine erisirler. Zaten tum bilgilerini de sanal kullanicilarin
icin olusturdugun (sistem yoneticisinin olusturdugu) yapilandirma
dosyandan (virtual.passwd) alirsin. Ustelik sanal kullanicilarin denetimi
tumu ile sende oldugu icin hemen her turlu ozelligi/kisitlamayi da
getirebilirsin bu kullanicilar icin.

Ustelik ayni sekilde diger ag sunucularinin da benzer bir mantik ile
calistigini dusunebiliriz. Mesela pop3 sunucusu... O zaman vpopmail'i de
ayni kefeye koymamiz gerekiyor :).

> Dusunun, eger FTP sunucudaki kullanicilar sanal ise, dosyalar da sanal
> olmali yada dosyalarda erisim denetimi farkli davranmali, dosya sistemi

Tum kullanicilari sanal olarak dusunmeye gerek yok aslinda. Bu pek cok
sorunu beraberinde getirecektir. Temel olarak bir sistem kullanicisi
uzerinde calisan sanal kullanicilar mantigini dusunek daha dogru
olacaktir. Yukarida bahsettigim gibi... Dolayisi ile ne dosyalar sanal
olacak ne de dosya erisimleri icin farkli bir yontem izlemeye gerek
kalacak.

> seviyesinde erisim denetimi kullanilmamali veya bir sekilde atlanmali.

Yalnizca programda sanal kullanicilarinin erisebilecekleri
(yazabilecekleri) alanlari ev dizinleri olarak gostermek yeterli
olacaktir. Daha sonra tum erisim denetimleri icin zaten sistem
kullanicisini kullanabilirsin.

> Bu durum, ayni zamanda potansiyel bir guvenlik acigi olarak da goze
> batiyor bence.

Acikcasi yukaridaki yontem bana oldukca makul geliyor. Tumu ile sistem
kullanicilarini yok sayarak yeni bastan bir erisim denetimi, dosya
sistemi tasarlamak hic mantikli bir yontem degil. Ama bir sistem
kullanicisini sanal kullanicilar icin kullanmak bence bir sorun degil.
Eger bu durum bir guvenlik acigi yaratmaya elverisli olsa idi saniyorum
sanal kullanicilari destekleyen vpopmail, pureftpd gibi yazilimlara
sahip olmak cok da mumkun olmazdi.

iyi calismalar,

-- 
-----------------------------------------------------------------------
Baris Metin                          mail:baris.metin@frontsite.com.tr
IT Consultant and Application Developer

Frontsite Bilgi Teknolojisi A.S. tel: +90 212 222 68 42 - 63 fax: +90 212 222 68 35 -----------------------------------------------------------------------

-- Attached file included as plaintext by Ecartis --

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQE+LdhFxyezEhU1oVARApp0AJwJ6KYMXzAtSE5dZadDoJu6RfuLFACfSw4f 7YYKX4h04Z8+COuL/hoEhLg= =w4Ea -----END PGP SIGNATURE-----


New Message Reply About this list Date view Thread view Subject view Author view

---------

Bu arsiv hypermail 2b29 tarafindan uretilmistir.