SSH-User mit individuellen Verzeichniszugriffen

[speedy8]

Hallo,

ich habe aktuell die Frage, ob es unproblematisch möglich ist, für ein und dasselbe Kundenkonto für verschiedene SSH-Nutzer die Verzeichniszugriffe einzuschränken.

Konkret wird der bisher vorhandene SSH-Nutzer zur Administrierung der Typo3-Webseite genutzt. Jetzt soll in dem Kundenkonto noch eine App mit einer API zur Verfügung gestellt werden. Dafür soll der zuständige Programmierer einen SSH-Zugang bekommen, um im APP-Web-Verzeichnis die über ftp hochgeladen ZIP-Dateien entpacken kann und dann auch die LOG-Dateien der Anwendung einsehen kann. Für die APP habe ich einen Cronjob zur Überwachung laufen.

Aktuell erhalten alle SSH-Nutzer denselben vollen Zugriff auf den kompletten Webspace, und somit auch auf die Verzeichnisse des CMS. Das möchte ich aus Sicherheitsgründen aber am liebsten nicht so haben.

Kann man das ändern?

Vielen Dank schonmal.

 

[Till]

Das geht so nicht wie Du es Dir vorstellst, denn wenn der Entwickler einen anderen user mit anderer UID hat, dann würde es wiederum probleme mit PHP geben. Und Linux SSHD kann halt keine Einschränkungen die über normale Linux user Rechte hinaus gehen, und 2 Usern mit selber UID kannst Du halt keine unterschiedlichen rechte für SSHD zuweisen.

Gib dem Entwickler einen FTP Zugang, den kannst Du auf ein Verzeichnis einschränken da FTP user virtuell sind. Dann muss er sein zip halt lokal entpaken vor dem hoch laden. Und für das log musst Du Dir halt was überlegen, entweder auch FTP Zugang oder eine andere Lösung um es lesen zu können.

Oder Du legst für die API separate website unter subdomain an und wen das nicht geht, halt einen cronjob und script der Änderungen überträgt und auf anderen user ändert.

 

[speedy8]

mmhh, das hatte ich mir schon fast gedacht.
Also mit dem FTP-Transfer der Dateien auf den Server gabs jedoch irgendwie Probleme, da die Programmdateien nicht 1:1 übermittelt wurden. Wir haben da gemeinsam gesucht und dachten erst, dass auf dem Server ggf. noch irgendwelche Bibliotheken installiert werden müssen. Aber das war nicht der Fall, denn ein Übermittlung als ZIP und Entpacken in der SSH ließ die Anwendung dann starten. Dateiübermittlung erfolgte via Filezilla, weiß aber nicht, ob dort vielleicht irgendwelche komischen Einstellungen vorgenommen wurden!?!
VG

 

[Till]

Also mit dem FTP-Transfer der Dateien auf den Server gabs jedoch irgendwie Probleme, da die Programmdateien nicht 1:1 übermittelt wurden. Wir haben da gemeinsam gesucht und dachten erst, dass auf dem Server ggf. noch irgendwelche Bibliotheken installiert werden müssen. Aber das war nicht der Fall, denn ein Übermittlung als ZIP und Entpacken in der SSH ließ die Anwendung dann starten. Dateiübermittlung erfolgte via Filezilla, weiß aber nicht, ob dort vielleicht irgendwelche komischen Einstellungen vorgenommen wurden!?!

Vermutlich Fehleinstellung im FTP client, mit dem Server hat das grundsätzlich nichts zu tun. FTP kennt text (ASCII) und binär tranfer Modus, im Binär Transfer Modus werden Dateien nicht geändert, im text Transfer Modus ändert er aber z.B. Zeilenumbrüche wenn Du von Windows auf Linux transferierst. Also einfach Binärmodus im FTP Client nehmen, falls Dein FTP Client dazu tendiert falsche Modi für bestimmte Dateiendungen zu nehmen.