Servus,

Hallo Leute,

also stellen wir uns mal folgendes vor:

Im /Home Verzeichnis befinden sind 100 Kundendomains. Jeder Kunde hat sein eigenes Verzeichnis.

Gut so.

Dem Kunden stellt man ssh zur Verfügung und schwups hat er auf einmal Zugriff auf alle Datei der anderen Kunden zumindest Lesezugriff... wie kann man soetwas verhindern und ein gutes Konzept dafür austüfteln, dass jeder Kunde zwar sein Verzeichnis hat, aber andere nicht in das Verzeichnis des anderen Kunden wechseln dürfen... gibt es dafür Konzepte? Wenn ja, dann lasst sie herwachsen... würde mich nämlich interessieren, wie man soetwas einrichtet...

Mein Gedanke wäre: Richte für jeden Kunden eine eigene Gruppe eine - von mir aus web-kdX. Und nun richte die Verzeichnisse so ein, dass die Gruppenrechte jeweils nur für den jeweiligen Kunden gelten, und trage den User, unter dem der Apache läuft, in sämtliche neuen Gruppen ein. Die Verzeichnisse müssen natürlich auch Lese- und ggf. Schreibrechte für die Gruppen gesetzt haben, aber _keinerlei_ Rechte für "others".

Ergebnis: Kunde 1 kann seine Verzeichnisse lesen (Leserechte für web-kd1), der Apache auch (ist ja Mitglied der Gruppe), wenn er aber versucht, in das Verzeichnis des Kunde 2 zu wechseln, darf er nicht mehr lesen, denn er ist ja weder Kunde 2 noch Mitglied in der Gruppe web-kd2 (im Gegensatz zum Server).

Das Ganze ist zwar etwas Aufwand, müßte aber so funktionieren.

HTH:

Tobias