---

På min FTP har jeg oprettet symbolske links i brugernes /home-mapper,
for at give adgang til en stor fællesmappe. Men FTP klienten kan ikke
finde ud af at følge linket! Desuden kan brugerne slette linket og det
må de heller ikke kunne.

Hvordan kan jeg løse de problemer?

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

Har brugerne adgang (rettigheder) til påhældende mappe ?
Er ftp-severen sat op til at tillade "follow-symlinks" ?
Hvilken ftp server bruger du ?
Hvilke klienter bruger du ?
Hvilke rettigheder/ejerforhold har du sat på symlinket ?

Sådan lige et par enkrlte ting der kan hjælpe frem til et kvalificeret
svar :)

MVH. Brian

On Sun, 11 Nov 2001 14:55:17 +0100, Søren Jacob Lauritsen wrote:

> På min FTP har jeg oprettet symbolske links i brugernes /home-mapper,
> for at give adgang til en stor fællesmappe. Men FTP klienten kan ikke
> finde ud af at følge linket! Desuden kan brugerne slette linket og det
> må de heller ikke kunne.
>
> Hvordan kan jeg løse de problemer?
>
> /Søren
>
> --
> Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig! www:
> http://www.sjl.dk/
>
>

---

bofh wrote
> Har brugerne adgang (rettigheder) til påhældende mappe?
Yep! mode 755

> Er ftp-severen sat op til at tillade "follow-symlinks"?
Det ved jeg ikke, så det vil jeg lige følge op på. Sandsynligvis der
fejlen ligger.

> Hvilken ftp server bruger du?
Proftpd

> Hvilke klienter bruger du?
Windowsklienter, alle mulige typer, afhængig af hvad folk selv synes er
fedt. Primært er det dog Windows Commander, som min omgangskreds bruger.

> Hvilke rettigheder/ejerforhold har du sat på symlinket?
Symlinket tilhører root. Det var et spædt håb om at brugerne ikke fik
lov til at slette det. Men rettighederne er 777, så det hjælper ikke
meget.

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

Søren Jacob Lauritsen wrote
> > Er ftp-severen sat op til at tillade "follow-symlinks"?
> Det ved jeg ikke, så det vil jeg lige følge op på. Sandsynligvis der
> fejlen ligger.

Serveren er pr. default sat op til "ShowSymlinks: on". Jeg kan da også
se "mappen" når jeg logger på serveren. Trykker jeg på den siger den
bare "No such file or directory". Inde fra konsollen via SSH funker det
fint, der finder den over til "pub" mappen.

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

"Søren Jacob Lauritsen" <devnull@nospam.sjl.dk> writes:

> Søren Jacob Lauritsen wrote
> > > Er ftp-severen sat op til at tillade "follow-symlinks"?
> > Det ved jeg ikke, så det vil jeg lige følge op på. Sandsynligvis der
> > fejlen ligger.
>
> Serveren er pr. default sat op til "ShowSymlinks: on". Jeg kan da også
> se "mappen" når jeg logger på serveren. Trykker jeg på den siger den
> bare "No such file or directory". Inde fra konsollen via SSH funker det
> fint, der finder den over til "pub" mappen.

Det er måske fordi at folk er i et chroot() jail når de logger ind og
derfor ikke kan få lov til at følge symliket der peger et sted uden
for chroot() jail'et.

--
Christian Hemmingsen

---

Christian Hemmingsen wrote
> Det er måske fordi at folk er i et chroot() jail når de logger ind og
> derfor ikke kan få lov til at følge symliket der peger et sted uden
> for chroot() jail'et.

chroot() ? Hvad betyder det præcist? Jeg har en idé om at det betyder
noget med en kunstig rod...

Udover det, så er brugerne låst til deres /home dir. Public mappen
ligger i /home. Hvordan omgår jeg så den problematik? Brugerne må gerne
have adgang til public mappen, men de må stadig ikke kunne forlade deres
home dir, og se på andre potentielle spændende ting og sager!

/Søren

---

Søren Jacob Lauritsen wrote:

> Christian Hemmingsen wrote
>> Det er måske fordi at folk er i et chroot() jail når de logger ind og
>> derfor ikke kan få lov til at følge symliket der peger et sted uden
>> for chroot() jail'et.
>
> chroot() ? Hvad betyder det præcist? Jeg har en idé om at det betyder
> noget med en kunstig rod...
>
> Udover det, så er brugerne låst til deres /home dir. Public mappen
> ligger i /home. Hvordan omgår jeg så den problematik? Brugerne må
> gerne have adgang til public mappen, men de må stadig ikke kunne
> forlade deres home dir, og se på andre potentielle spændende ting og
> sager!

bind-mounts. Du skal lave et bind mount (kræver 2.4 kerne) pr. bruger:

for user in user1 user2 user3
do
mount -o bind /home/shared /home/$user/
done

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
Expect the unexpected.
- HitchHikers Guide to the Galaxy, Douglas Adams
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote
> bind-mounts. Du skal lave et bind mount (kræver 2.4 kerne) pr. bruger:
>
> for user in user1 user2 user3
> do
> mount -o bind /home/shared /home/$user/
> done

Okay det ser ud til at virke, når jeg gør det for min testbruger! :)
Fedt nok!

Er ovenstående et script, jeg kan afvikle, hvis jeg f.eks. rebooter?
Hvordan gøres det mest praktisk?

/Søren

---

Søren Jacob Lauritsen wrote:

>> for user in user1 user2 user3
>> do
>> mount -o bind /home/shared /home/$user/
>> done

> Er ovenstående et script, jeg kan afvikle, hvis jeg f.eks. rebooter?

Ja.

> Hvordan gøres det mest praktisk?

Formentlig et script i /etc/init.d/ med passende symbolske links i
/etc/rc?.d/ . Men det kommer meget an på din distribution og -version.

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
While Linux is larger than Emacs,
at least Linux has the excuse that it has to be.
--Linus Torvalds
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote...
> Formentlig et script i /etc/init.d/ med passende symbolske links i
> /etc/rc?.d/ . Men det kommer meget an på din distribution og -version.

Okay min dist. er Red Hat Linux 7.1. Jeg er ikke vandt til at lave sådan
nogle startupscripts osv., så det kunne være fedt, hvis du kunne komme
med et uddybning... :)

/Søren

---

Søren Jacob Lauritsen wrote:

> Rasmus Bøg Hansen wrote...
>> Formentlig et script i /etc/init.d/ med passende symbolske links i
>> /etc/rc?.d/ . Men det kommer meget an på din distribution og
>> -version.
>
> Okay min dist. er Red Hat Linux 7.1. Jeg er ikke vandt til at lave
> sådan nogle startupscripts osv., så det kunne være fedt, hvis du kunne
> komme med et uddybning... :)

Det skyldes at man lægger scripts forskellige steder på forskellige
distributioner. Desuden er det forskelligt, hvad de forskellige
runlevels betyder fra distribution til distribution. I RedHat 7.1 er
runlevels:

0: luk ned
1: enkeltbruger
2: multibruger uden netværk
3: multibruger med netværk
4: ubrugt
5: multibruger med X
6: genstart

Du skal bruge et script i stil med:

-- script start --
#!/bin/sh
#
# Startup script to bind-mount for ftp-users
#
# description: Gives shared ftp access for chrooted users
# chkconfig: 345 90 10

if [ "$1" == "start" ]; then
[ -f /var/lock/bindmount ] && exit 0
echo -n "Mounting bind-mounts: "
for user in user1 user2 user3
do
mount -o bind /home/shared /home/$user/pub 2>&1 > /dev/null
done
touch /var/lock/bindmount
echo "done"
exit 0
fi

if [ "$1" == "stop" ]; then
[ -f /var/lock/bindmount ] || exit 0
echo -n "Unmounting bind-mounts: "
for user in user1 user2 user3
do
umount/home/$user/pub
done
rm -f /var/lock/bindmount
echo "done"
exit 0
fi

echo "Usage: $0 {start|stop}"
exit 1
-- script stop --

Forbehold for fejl tages naturligvis

Gem scriptet som /etc/init.d/bindmount og kør:

chmod +x /etc/init.d/bindmount
chkconfig --add bindmount

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
I haven't lost my mind;
I have backed it up on tape somewhere........
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote
> for user in user1 user2 user3

Jeg skal lige have opklaret, om user1, 2 og 3, skal erstattes med de
respektive brugernavne eller, om det er noget specielt?

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

Søren Jacob Lauritsen wrote:

> Rasmus Bøg Hansen wrote
>> for user in user1 user2 user3
>
> Jeg skal lige have opklaret, om user1, 2 og 3, skal erstattes med de
> respektive brugernavne eller, om det er noget specielt?

Det er præcis brugernes brugernavne (eller rettere - navnet på
hjemmekataloget under /home, der jo normalt vil være det samme som
brugernvanet). Således vil der stå:

for user in bruno bent www

for tilfældene: brugereren bruno med hjemmekataloget /home/bruno,
brugeren bent med hjemmekataloget /home/bent og (specialtilfældet)
brugeren webmaster med hjemmekataloget /home/www.

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
There is no insanity, just different perceptions of reality.
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote
> [ -f /var/lock/bindmount ] && exit 0

Mit script kommer med en "no such file or directory", så jeg tænkte der
måske skulle stå noget før "-f", det var det eneste jeg umiddelbart
kunne se. For jeg synes "-f" ligner et argument. Også fordi der til
sidst i scriptet står "rm -f". Som om du opretter noget temporært af en
art.

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

Søren Jacob Lauritsen skrev:

>> [ -f /var/lock/bindmount ] && exit 0
>
> Mit script kommer med en "no such file or directory", så jeg
> tænkte der måske skulle stå noget før "-f",

"[" er en slags alias for "test", så det er ganske gyldigt at skrive
"[ -f /var/lock/bindmount ] && exit 0", som burde svare til det mere
læsbare "test -f /var/lock/bindmount && exit 0".


// Klaus


--
><>°    vandag, môre, altyd saam

---

Klaus Alexander Seistrup wrote
> "[" er en slags alias for "test", så det er ganske gyldigt at skrive
> "[ -f /var/lock/bindmount ] && exit 0", som burde svare til det mere
> læsbare "test -f /var/lock/bindmount && exit 0".

Aah okay... hvad kan der så være galt med scriptet?

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

Søren Jacob Lauritsen wrote:

> Klaus Alexander Seistrup wrote
>> "[" er en slags alias for "test", så det er ganske gyldigt at skrive
>> "[ -f /var/lock/bindmount ] && exit 0", som burde svare til det mere
>> læsbare "test -f /var/lock/bindmount && exit 0".
>
> Aah okay... hvad kan der så være galt med scriptet?

Hvor langt når scriptet inden det fejler? Har alle brugere med
bind-mounts et katalog, pub, i deres hjemmekatalog?

Scriptet giver ikke den fejl for mig på RedHat 7.2...

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
There's no point in being grown up if you can't be childish sometimes.
-- Dr. Who
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote
> Hvor langt når scriptet inden det fejler?

Jeg havde lige overset at du havde kaldt den /home/shared, mit dir hed
noget andet. ;)
Nå men nu løber den scriptet igennem, dog synes jeg ikke den unmounter
dem!

Her er min modificerede udgave af scriptet:

#!/bin/sh
#
# Startup script to bind-mount for ftp-users
#
# description: Gives shared ftp access for chrooted users
# chkconfig: 345 90 10

if [ "$1" == "start" ]; then
[ -f /var/lock/bindmount ] && exit 0
echo -n "Mounting bind-mounts: "
for user in allan jesper_d jp lars mathias patrick rune sjl tommy
do
mount -o bind /home/pub /home/$user/pub 2>&1 > /dev/null
done
touch /var/lock/bindmount
echo "done"
exit 0
fi

if [ "$1" == "stop" ]; then
[ -f /var/lock/bindmount ] || exit 0
echo -n "Unmounting bind-mounts: "
for user in allan jesper_d jp lars mathias patrick rune sjl tommy
do
umount /home/$user/pub
done
rm -f /var/lock/bindmount
echo "done"
exit 0
fi

echo "Usage: $0 {start|stop}"
exit 1

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

Søren Jacob Lauritsen wrote:

> Rasmus Bøg Hansen wrote
> Nå men nu løber den scriptet igennem, dog synes jeg ikke den unmounter
> dem!

> if [ "$1" == "stop" ]; then
> [ -f /var/lock/bindmount ] || exit 0
> echo -n "Unmounting bind-mounts: "
> for user in allan jesper_d jp lars mathias patrick rune sjl tommy
> do
> umount /home/$user/pub
> done
> rm -f /var/lock/bindmount
> echo "done"
> exit 0
> fi

Skriver den 'unmounting bind-mounts'? Eksisterer /var/lock/bindmount?
Kommer den med nogle fejl?

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
Vampires are not visible in mirrors, which explains why they are often
backed over in parking lots.
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote

> Skriver den 'unmounting bind-mounts'? Eksisterer /var/lock/bindmount?
> Kommer den med nogle fejl?

Der kommer ingen fejl, og den skriver "unmounting bind-mounts: done".

/var/lock/bindmount, eksisterer når jeg kører start og forsvinder når
jeg kører stop.

Jeg kan dog stadig tilgå mapperne...

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

Søren Jacob Lauritsen wrote:

> Rasmus Bøg Hansen wrote
>
>> Skriver den 'unmounting bind-mounts'? Eksisterer /var/lock/bindmount?
>> Kommer den med nogle fejl?
>
> Der kommer ingen fejl, og den skriver "unmounting bind-mounts: done".
>
> /var/lock/bindmount, eksisterer når jeg kører start og forsvinder når
> jeg kører stop.
>
> Jeg kan dog stadig tilgå mapperne...

Meget sært, det oplever jeg ikke, når jeg prøver på min egen - eneste
ændring er brugernavne...

Prøv at indsætte denne linje umiddelbart inden hhv. mount- og
umount-linjerne:

echo -n "$user "

Hvad er uddata nu?

Du benytter vel ikke en ftp-klient, der cacher filoversigter såson
ncftp?

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
There is no insanity, just different perceptions of reality.
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote
> Du benytter vel ikke en ftp-klient, der cacher filoversigter såson
> ncftp?

Nope, jeg fandt fejlen, ser du, jeg havde mountet dem før jeg kørte
scriptet. Altså fra dengang jeg gjorde det manuelt, så jeg ved ikke om
man kan sige at de har været "dobbelmountet", da jeg unmountede dem
manuelt, som scriptet til at fungere! Så nu virker det!

Hvor meget kræver det af PC'en at have alle de mounts kørende?

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

Søren Jacob Lauritsen wrote:

> Hvor meget kræver det af PC'en at have alle de mounts kørende?

Ret lidt. Selve mount'ene kræver en smule hukommelse, men det er intet
af betydning for moderne maskiner.

Mht. CPU-kraft stort set ingenting.

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
There is no insanity, just different perceptions of reality.
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen wrote
> Ret lidt. Selve mount'ene kræver en smule hukommelse, men det er intet
> af betydning for moderne maskiner.
>
> Mht. CPU-kraft stort set ingenting.

Okay det lyder godt! Tak! :)

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

Søren Jacob Lauritsen <devnull@nospam.sjl.dk> skrev i en
news:vqvH7.3885$Gt.375238@news000.worldonline.dk...
> På min FTP har jeg oprettet symbolske links i brugernes /home-mapper,
> for at give adgang til en stor fællesmappe. Men FTP klienten kan ikke
> finde ud af at følge linket! Desuden kan brugerne slette linket og det
> må de heller ikke kunne.
>
> Hvordan kan jeg løse de problemer?
>
> /Søren


Jeg har løst problemet med et lidt anden måde. Jeg jailer brugeren til /home
også bruger jeg kommandoen hidenoaccess. Derved bliver andre brugeres
homedir dels usynlige, og de kan selvfølgelig ikke komme ind i dem, og der
gør ikke noget at brugeren er jailet et niveau længere ude, og fælles dir
kan dermed placeres der.

Kommentarer til løsning er meget velkomne.

Jørn

---

Jørn Hundebøll wrote
> Kommentarer til løsning er meget velkomne.

Det lyder noget mere enkelt at skulle mounte alle brugermapperne, men
hvis nu en bruger opretter hjemmeside på serveren, så bliver brugerens
mappe "chmod 755", der vil hidenoaccess vel ikke længere virke!
Medmindre man kan nøjes med at 755'e public_html mappen, men jeg synes
ikke det ligner at det er tilfældet, da jeg prøvede...

/Søren

--
Fjern "nospam" fra e-mailadressen, hvis du vil maile til mig!
www: http://www.sjl.dk/

---

Søren Jacob Lauritsen <devnull@nospam.sjl.dk> skrev i en
news:95dL7.600$TN1.88864@news000.worldonline.dk...
> Jørn Hundebøll wrote
> > Kommentarer til løsning er meget velkomne.
>
> Det lyder noget mere enkelt at skulle mounte alle brugermapperne, men
> hvis nu en bruger opretter hjemmeside på serveren, så bliver brugerens
> mappe "chmod 755", der vil hidenoaccess vel ikke længere virke!
> Medmindre man kan nøjes med at 755'e public_html mappen, men jeg synes
> ikke det ligner at det er tilfældet, da jeg prøvede...

Laver han en hjemmeside, oprettes den vel under hans homedir. Der kan andre
brugere via FTP ikke komme ind, så rettighederne til dette dir er uden
betydning - eller hvad ?

Ideen er, at man har et (eller flere) fællesdir i /home, samt brugernes
homedir. Alle brugere har adgang til fællesdir samt deres eget dir, og det
kræver ingen opsætning, når en ny bruger skal oprettes. Det kræver heller
ingen CPU ressourcer at administrere i forhold til en mount.

Jørn

---

Jørn Hundebøll wrote...
> Laver han en hjemmeside, oprettes den vel under hans homedir. Der kan
> andre brugere via FTP ikke komme ind, så rettighederne til dette
> dir er uden betydning - eller hvad ?

Det troede jeg også, men jeg synes at have oplevet, at hvis brugerens
eget dir ikke har i hvert fald execute-rettigheder under "other", så
Apache ikke vise hjemmesiden. Men jeg kom til at tænke på, at hvis man
kun har execute-rettigheder til mappen, så kan man vel heller ikke se
mappen med hidenoaccess...

/Søren

---

Søren Jacob Lauritsen <devnull@nospam.sjl.dk> skrev i en
news:QMdL7.661$TN1.98654@news000.worldonline.dk...
> Jørn Hundebøll wrote...
> > Laver han en hjemmeside, oprettes den vel under hans homedir. Der kan
> > andre brugere via FTP ikke komme ind, så rettighederne til dette
> > dir er uden betydning - eller hvad ?
>
> Det troede jeg også, men jeg synes at have oplevet, at hvis brugerens
> eget dir ikke har i hvert fald execute-rettigheder under "other", så
> Apache ikke vise hjemmesiden. Men jeg kom til at tænke på, at hvis man
> kun har execute-rettigheder til mappen, så kan man vel heller ikke se
> mappen med hidenoaccess...

Hvis der er execute rettighed til alle på et direktorie, kan det pludselig
ses og tilgåes, men det er tomt. Det er klart, at hvis Apache kræver execute
rettigheder (hvilket jeg har lidt svært ved at forstå), så er hidenoaccess
metoden ikke så god. Jeg bruger dog ikke Apache på den måde, så jeg kan ikke
af-bekræfte, om det er en forudsætning, for at få Apache til at virke. Jeg
retter lige execute rettighederne tilbage

Jørn

---

Den Fri, 23 Nov 2001 09:38:57 +0100 skrev Jørn Hundebøll:
>
>Søren Jacob Lauritsen <devnull@nospam.sjl.dk> skrev i en
>news:QMdL7.661$TN1.98654@news000.worldonline.dk...
>> Jørn Hundebøll wrote...
>> > Laver han en hjemmeside, oprettes den vel under hans homedir. Der kan
>> > andre brugere via FTP ikke komme ind, så rettighederne til dette
>> > dir er uden betydning - eller hvad ?
>>
>> Det troede jeg også, men jeg synes at have oplevet, at hvis brugerens
>> eget dir ikke har i hvert fald execute-rettigheder under "other", så
>> Apache ikke vise hjemmesiden. Men jeg kom til at tænke på, at hvis man
>> kun har execute-rettigheder til mappen, så kan man vel heller ikke se
>> mappen med hidenoaccess...
>
>Hvis der er execute rettighed til alle på et direktorie, kan det pludselig
>ses og tilgåes, men det er tomt. Det er klart, at hvis Apache kræver execute
>rettigheder (hvilket jeg har lidt svært ved at forstå),

Det er fordi du ikke har forstået unix' sikkerhedsmodel.

På et directory:

r (read) = ls

x (execute) = cd, eller på anden vis tage fat i indholdet af directoriet

Hvis man fx. ikke har x på /home/me, så kan man ikke tage fat i
/home/me/public_html, da den ligger under /home/me.

Da Apache kører under navnet "nobody", vil den normalt altid være i
gruppen "other".

Mvh
Kent
--
Det skete i de dage i november engang
at de første kataloger satte hyggen igang

---

Kent Friis <kfr@fleggaard.dk> skrev i en news:9tm0rt$ek3$5@sunsite.dk...

> Det er fordi du ikke har forstået unix' sikkerhedsmodel.
>
> På et directory:
>
> r (read) = ls
>
> x (execute) = cd, eller på anden vis tage fat i indholdet af directoriet
>
> Hvis man fx. ikke har x på /home/me, så kan man ikke tage fat i
> /home/me/public_html, da den ligger under /home/me.
>
> Da Apache kører under navnet "nobody", vil den normalt altid være i
> gruppen "other".

Så lærte man det - jeg takker for et mini Unix kursus !

Jørn