per FTP Datei kann gelöscht werden

Status
Für weitere Antworten geschlossen.

traveller

Benutzer
Mitglied seit
28. Dez 2014
Beiträge
86
Punkte für Reaktionen
12
Punkte
8
Hallo!

Ein User kann auf einen gemeinsamen Ordner zugreifen, bei dem er aber nur Leserechte hat.
Verbindet sich dieser User nun per SFTP mit Filezilla zu diesem Ordner, dann kann er alle Dateien sehen, runterladen usw, aber er kann sie auch löschen, was er aber nicht darf.
Was mache ich falsch?

Danke für die Hilfe!
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
Du hast dem User dann auch Schreibberechtigung gegeben, wenn er das kann! D.h. Du magst ihm die Berechtigung zwar auf User Ebene verboten haben, aber hast dabei dann die Gruppenberechtigung vergessen! Sehen kannst Du das am Ehesten in der Userberechtigung, wenn Du dort gar keine Haken oder nur Lese-Haken gesetzt hast, aber Dir vorn bei dem User noch Lesen/Schreiben in Orange vorgeblendet wird.
 

traveller

Benutzer
Mitglied seit
28. Dez 2014
Beiträge
86
Punkte für Reaktionen
12
Punkte
8
Danke für die Hilfe!

Ich habe eine Gruppenberechtigunh angelegt, in der nur der entsprechende Gemeinsame Ordner aktiviert ist und nur Leserechte vergeben.
Dann erstellte ich einen neuen User, der in den Gruppen "users" und in der neue erstellten Gruppe ist.

Trotzdem in der neu erstellten Gruppenberechtigung nur lesen eingestellt ist, steht bei dem neuen User, dass er in dem Gemeinsamen Ordner Lesen/Schreiben darf.
Bei einem Test konnte der User tatsächlich bei der FTP Verbindung Dateien löschen.

Was mache ich immer noch falsch?
Darf der neue User nicht zur Gruppe "user" gehören?
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
Ich vermute, dass gerade die Gruppe User die Schreibberechtigung für diesen Ordner hat und deshalb rechte-mäßig alles "überschrieben" wird. Normalerweile kannst Du den entsprechenden User mal aus der Gruppe rausnehmen und dann sollte es eigentlich klappen.
Aber eigentlich sollte jeder User immer der Gruppe User angehören, nur der Gruppe User dürfte nichts (aber auch gar nichts) erlaubt sein! Du müsstest eigentlich richtigerweise eine neue Gruppe erstellen (z.B. namens "UploadOrdner") welche dann eben genau auf diesen Ordner nur Leserechte hat. Dort hinein gibst Du dann den entsprechenden User (welcher nebenher auch einen Haken für die Gruppe User behält) und schon ist dieser User gefangen in den Berechtigungen der Gruppe "UploadOrdner" - WENN eben die Gruppe User keinerlei Lese/Schreibberechtigungen mehr hat!
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
user_berechtigung.jpg
hier mal die Gruppe Users, wie sie eigentlich (immer) bei jeder Synology auszusehen hat! Dort sollte man wenn möglich nichts verändern! Dass da jetzt so viele Gruppen drinstehen, ist bei jedem anders... Ich habe mir diese Gruppen selbst erstellt, damit ich jedem Ordner (den ich habe) eben eigene Berechtigungen geben kann!
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
12.008
Punkte für Reaktionen
2.701
Punkte
423
@traveller
Schau dir auch mal die Datei-/Verzeichnisrechte auf Linux-Ebene an (z.B. "ls -als /volume1"). Soweit ich weiß, betrifft die ganze Konfiguration oben nur den Samba/CIFS- aber nicht den den FTP-Zugriff.
Wenn ein Benutzer über seine Benutzer-/Gruppenberechtigung Schreibzugriff auf das Verzeichnis hat, kann er über FTP oder die Konsole m.W. eine Datei auch löschen, selbst wenn er auf die Datei selbst nur Lese- oder gar keine Rechte hat.
 

traveller

Benutzer
Mitglied seit
28. Dez 2014
Beiträge
86
Punkte für Reaktionen
12
Punkte
8
Danke für die Antwort!
Ob ich den normalen User aus der Gruppe "user" rausnehmen kann, muss ich heute Abend probieren, glaube es aber nicht.
Ob ich die Gruppe "user" bei den Rechten anpassen kann, muss ich auch heute Abend ausprobieren.
Ich hatte ja eine eigene Gruppe "FTP nur lesen" angelegt und dort den entsprechenden Ordner angegeben und dabei nur Leserechte erteilt. In dieser Gruppe wird in den Eigenschaften unter Berechtigungen dann auch nur Lesen angezeigt.
Gehe ich aber dann zu dem User, der nur dieser Gruppe angehört, und bis jetzt auch der Gruppe "user", dann wird unter den Berechtigungen in dem entsprechenden Ordner Lesen/Schreiben angezeigt.
Übersteuern die Berechtigungen einer angelegten Gruppe nicht die Berechtigungen der Gruppe "user"?
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
12.008
Punkte für Reaktionen
2.701
Punkte
423
Jeder ist Mitglied der Gruppe users, das sollte man auch nicht versuchen zu ändern.
Bei den Berechtigungen auf die "Gemeinsamen Ordner" muss man halt auch die Gruppenmitgliedschaften/-Rechte denken und nicht nur an die des Users selbst.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
Gehe ich aber dann zu dem User, der nur dieser Gruppe angehört, und bis jetzt auch der Gruppe "user", dann wird unter den Berechtigungen in dem entsprechenden Ordner Lesen/Schreiben angezeigt.
Übersteuern die Berechtigungen einer angelegten Gruppe nicht die Berechtigungen der Gruppe "user"?

Nein, wenn die Gruppe User schon Lese/Schreiben drinstehen hat! Vielleicht ists aber bei Dir auch korrekt und unter User sind keine Haken verzeichnet! Dann passt alles und Benares Ausführungen werden dann die Ursache sein.
Das könntest Du testen, indem Du
- eine Datei hochlädst und dieser versuchst zu löschen - nach Benares müsste das dann gehen!
- eine neue Datei hochlädst und diese versuchst mit einem anderen User zu löschen - nach Benares sollte das dann nicht gehen.

Fazit wäre dann, dass die FTP Rechte tatsächlich andere wären, als in den Samba/CIFS Berechtigungen angegeben! Dann bekommst Du das nicht so 100% hin, wie Du das möchtest. Es sei denn, Du bist immer der User, welcher die Dateien für die anderen hochläd.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat