Beveiliging FTP-account website

[mani88]

Ik heb een FTP-account aangemaakt waarmee iemand anders bestanden kan uploaden op mijn website. Ik wil echter dat deze toegang heeft tot slechts één folder en in deze folder mag hij enkel bestanden toevoegen. Niet de bestaande bestanden renamen, wijzigen of verwijderen. Ik dacht dat ik hiervoor op de folder permission "711" moest geven maar blijkbaar niet want deze user kan dan nog steeds bestanden wijzigen en verwijderen (ook al is hij niet de owner van deze bestanden). Ik durf de beveiliging op deze folder ook niet te streng zetten, want het is natuurlijk wel de bedoeling dat gebruikers van mijn website deze bestanden nog kunnen downloaden op de website.

Verder wil ik hem de toegang tot bestaande bestanden in deze folder volledig ontnemen (dus noch read, noch write permission). Dit was volgens mij door permission "400" op deze file te leggen, maar dat werkt blijkbaar ook niet. Hij kan nog steeds de file openen/lezen, ook al is hij niet de owner. Hier mag de permission eventueel wel (zeer) streng worden ingesteld, want bezoekrs van de website mogen dit bestand ook niet zien/downloaden. Het wordt enkel (via "include" in PHP) ingelezen door andere PHP scripts. Dit bestand bevat namelijk de gegevens ivm connectie tot database.

Kan iemand mij verder helpen aub?

24 oktober 2014 aangepast door mani88

[leroy]

Bij sommige webhosting providers kun je per gebruiker aangeven wat zijn/haar 'home'-folder of 'root'-folder is. Als je hier niets invult, zal deze de standaard folder gebruiken. Maar dat zou je even moeten nagaan bij je webhosting-provider.

Daarnaast moet je rekening houden dat je FTP permissies hebt, en server permissies. Een FTP-service staat naar mijn weten per gebruiker ingericht dat als een gebruiker een map aanmaakt, dat deze 644 krijgt. En als een gebruiker een bestand aanmaakt, dat deze 744 of 755 krijgt. Als je dus een map de rechten 711 geeft, heeft dat alleen betrekking op die map, en niet op de bestanden in die map.

711 op een map is namelijk:

owner: lees map, schrijf in de map en list inhoud van de map

group: list inhoud van de map

all: list inhoud van de map

Deze instellingen worden niet overgenomen naar de bestanden die daaronder komen liggen. Als je een map hebt met de rechten 711, en je maakt een bestand aan in die map (standaard dus 755), dan mag iedereen het bestand lezen (en uitvoeren desnoods), maar alleen de eigenaar zou de bestanden weg mogen gooien.

De eigenaar is degene die de bestanden aanmaakt. Dus wat je aangeeft is gewoon correct.

FTP is niet goed geschikt om mensen rechten te ontnemen, of rechten toe te geven.

Betreft je privé bestanden

Deze privé bestanden kun je vaak beter in map zetten waar een web-service geen toegang tot heeft.

Veel providers bieden een public-root en private-root aan. De public root map is voor de bestanden die je via de browser kunt benaderen. De private-root map zijn alleen bestanden die via FTP zijn te benaderen.

Mijn advies

Ik zou kijken naar een andere soort oplossing. Er zijn op internet genoeg webapplicaties te bedenken waarin je file-management kunt regelen onder gebruikers. Je kunt dan gebruikers aanmaken, en hun rechten geven op bepaalde bestanden en mappen (zorg ook weer dat deze bestanden en mappen niet in de public-root worden gezet, maar in de private-root).

Software wat je zo kunt installeren op je webserver zijn bijvoorbeeld: Mollify of FileGator | Advanced PHP File Manager of https://pyd.io/

En anders kun je op deze pagina ook nog genoeg alternatieven vinden 25+ Excellent Open Source Web Based File Explorer Applications to Manage and Share Files | FromDev