Hallo Ronny, On Wed, Nov 13, 2019 at 14:27:44 +0100, Ronny Seffner wrote:
> Ich habe einen Nutzer in /var/lib/extrausers/passwd|group|shadow: > getent group its > user1:x:10002:user1 > getent passwd its > user1:x:10002:10002:User:/var/www/webs/user1/:/bin/false Zunaechst mal: Mit libnss-extrausers habe ich keine Erfahrung. Falls dieses schraege Konstrukt eigene Fehler verursacht, dann kenne ich die nicht. Ausserdem ist nicht klar, um welchen User es Dir geht. Oben zeigst Du Eintraege fuer den user1, unten verwendest Du aber den user0. > Nun kann dieser Nutzer unter /var/www/webs aber per SFTP in alle > Verzeichnisse (also z.B. auch user0) Wer ist mit "dieser Nutzer" gemeint? user0 oder user1? > drwxr-x--- 36 user0 itcdd 4096 Okt 29 15:03 user0 > drwxr-x--- 12 user1 its 4096 Okt 31 16:56 user1 Dass der user0 ins Verzeichnis user0 darf, ist offensichtlich. Er ist der Owner und fuer den stehen die Permissions auf rwx. Er darf dort also auch Dateien erzeugen/loeschen. Falls user0 auch ins Verzeichnis user1 darf, muss er der Gruppe its angehoeren. Info ueber den user0 fehlt aber in Deiner Mail. > getfacl user0 > # file: user0 > # owner: user0 > # group: user0 > user::rwx > group::r-x > other::--- Da getfacl hier nur Verzeichnisname/Owner/Group sowie die klassischen UGO-Permissions anzeigt, ist die ACL leer und ein simples "ls -ld user0" haette ausgereicht. > Das gleiche Spiel klappt aber unter /home nicht überall (z.B. esets) > getfacl /home/esets > # file: home/esets > # owner: esets > # group: esets > user::rwx > group::r-x > other::--- Wenn der user0 *nicht* der Gruppe esets angehoert, ist auch hier klar, warum er nicht ins Verzeichnis /home/esets darf. Zu getfacl gilt hier das gleiche wie oben. > Wieso gelingt user0 über SFTP das change directory und mehr (read von > Dateien) unter /var/www/webs/user0, nicht aber in /home/esets? Siehe oben. Uebersehe ich was? Gruss, Christian -- Christian Perle chris AT linuxinfotag.de 010111 http://chris.silmor.de/ 101010 LinuxGuitarKitesBicyclesBeerPizzaRaytracing