[Comm] Question on FTP

[Headlong John]

Hello, Fr. Br. George
Пн, 11.09.2006 13:55:19 you wrote:

FBG> On Fri, Sep 01, 2006 at 01:01:57PM +0400, Headlong John wrote:
> > Здравствуйте.
> > 
> > У меня проблема возникла, не могу решить, не знаю, к кому обратиться и где
> > посмотреть информацию. Направьте меня, пожалуйста. Кратко опишу проблему.
> > 
> > У меня сервер под Линуксом для джава-разработок, дистрибутив ALT Master
> > Решил использовать для этого FTP, чтобы не
> > привязываться к файловым службам, специфическим для ОС (nfs или smb).
> А в чём разница? Так вы привязываетесь к FTP-клиентам для ОС. Думаю, smb
> вполне подошло бы, да и проблем, описанных ниже, не возникло бы.
> Обратите внимание, что своей схемой доступа к объектом вы хотите
> смоделировать именно права доступа в стиле smb. Зачем изобретать новый
> велосипед, когда можно освоить мотоцикл? Поддержка smb-клиентов в
> ALM2.4 работает весьма неплохо. Samba -- весьма хорошо.

Ну то есть вы хотите сказать, что об FTP теперь можно вообще забыть и всегда использовать только SMB? Вы хотите сказать, что все владельцы FTP-сайтов и веб-хостингов в интернете не очень хорошо разбираются в средствах доступа к файлам по сети?

Если бы мне нравился SMB или я хотел его использовать, я бы поставил MS Windows, а не открытую ОС.

> > При этом желательно сделать так, чтобы можно было ограничить возможность
> > перемещения пользователей FTP по файловой системе определенными участками,
> > а также сделать так, чтобы можно было права на проекты раздавать. Решил
> > использовать vsftpd из ALT Master 2.4. В результате не могу добиться того,
> > что мне нужно.
> Возможностей vsftpd, видимо, недостаточно. Можно посмотреть в сторону
> proftpd и его расширений. Если вам в самом деле хочется обойтись без
> smb. И если вас будут удовлетворять гуляющие по вашей сети в открытом
> виде ftp-пароли.

Для решения этой проблемы есть SSL, если безопасность критична. А насколько "защищен" SMB?

> > Что я хочу. Я хочу собрать виртуальное дерево FTP-сервера на основе
> > реальных каталогов, произвольно разбросанных по файловой системе, и
> > управлять доступом к нему для пользователей. Я хочу, чтобы структура
> > дерева каталогов FTP-сервера не была жестко привязана к структуре
> > каталогов на диске.
> Деталью этого велосипеда может быть многократный mount --bind, возможно,
> управляемый sh-сценарием и какой-нибудь самодельной картой в стиле "кому
> чего давать".

Спасибо, эта часть проблемы уже решена, я писал об этом. Я использую /etc/fstab для монтирования, никаких самоделок.

Теперь такой вопрос - как в /etc/vsftpd.conf указать, куда chroot'ить пользователей? Поскольку мне надо контролировать доступ к файлам на уровне пользователей, то от виртуальных пользователей vsftpd я отказался, буду использовать реальных. Но вот загвоздка: chroot'ятся они в свои домашние каталоги, а мне надо, чтобы при доступе через ftp они все chroot'ились в один и тот же каталог /home/ftpsite, который будет набит точками монтирования нужных мне для ftp-доступа фрагментов файловой системы. При этом надо, чтобы при обычном входе в систему (через ssh, например), пользователь попадал в свой обычный домашний каталог.

И еще - в чем скрытый смысл опции passwd_chroot_enable? Ведь при включенной chroot_local_user пользователи и так chroot'ятся в свои домашние каталоги, прописанные в /etc/passwd... Или я чего-то недопонял?

Спасибо заранее.