Nachdem der Wurm bezüglich des ftp-Zugriffs aus unserem internen LAN auf den ftp-Server in unserem public-LAN in unserer Firewll gefunden wurde, bin ich zum VSFTP Server zurückgekehrt. Denn an dem lag es ja gar nicht. Also die alternativen ftp-Server "pure-ftp" und "pro-ftp" waren genauso betroffen.

Darum nochmal zu den Randbedingungen unseres Download- / ftp- Konzeptes:

Jeder Account (jeder Benutzer) landet für sich alleine in einem geschlossenen Verzeichnis, wie auf einer Insel, die Zugangsbenutzer sind dort einzeln "eingesperrt", und das ist absichtlich so.

Jeder Account (jeder Benutzer) bekommt Zugriff auf genau diese Themen- orientierten Dateien, die er sehen und auch downloaden kann. Über den jeweiligen Inhalt solch eines Verzeichnisses bekommt er die Informationen (vorher) auf der erklärenden Webseite, auf der der Link zu diesen Dateien beschrieben ist.
.

Beim Anlegen eines Benutzers (das ist solch ein Account) werden zumindest Name und Passwort erfragt. Dann wird für diesen Benutzer im /home/- Verzeichnis des Servers ein Unterverzeichnis unter dem Account-Namen angelegt, und alles geschieht automatisch.

In der Config-Datei für den VSFTP-Server werden die Begrenzungen des "local jail" global definiert Doch das ist (noch) nicht handlich. Denn jeder Benutzer könnte die anderen Verzeichnisse des Servers (sogar einschließlich der Linux- Systemverzeichnisse) einsehen und auch dort (unerlaubt) Dateien runter laden. Und das darf nicht sein.

Also müssen zusätzlich zu der globalen "vsftp.conf" Datei weitere Begrenzungen auf Verzeichnis-Ebene eingebaut werden. Der aktuelle Benutzer darf die anderen Verzeichnisse nicht nur nicht sehen, sondern er darf auch dort nichts herunterladen.

Der aktuelle Benuzer bekommt auch die Gruppenrechte (z.B. "user" oder "ftp") weggenommen !!!, er steht für sich ganz alleine mit ganz wenigen Rechten da. Auch das ist absichtlich.
.

Im "Linux Jargon" sind das alles "user", doch bei uns nicht. Die Video-Dateien über die DLT Bandlaufwerke zum Beispiel oder unsere Karlsruher Kirchen-Konzert - Musiken wohnen in einem schreibgeschützten "Account".

Dagegen die Upload- und Download Verzeichnisse von namentlich genannten Personen sind bei uns "Benutzer".
.

Auf der Seite 10 habe ich alle ftp-Protokolle aufgeführt, wie sie funktionieren, mit den Vorteilen und den Nachteilen - aus der Sicht des Clients.
.
Hier kommen die Gedanken aus der Sicht des Server-Administrators.
.
Seit 25 Jahren administrieren wir unsere Opensuse Linux Server mit dem Terminal- Programm "putty" unter Windows. Dieses Programm benutzt eine verschlüsselte Verbindung vom PC durch alle Firewalls und Router und Swítches hindurch bis zu der gewünschten Linux Installation "irgendwo" im Netz. Alle Daten werden im SSH-Tunnel verschlüsselt übertragen. Dieses Terminal Programm kann über jeden beliebigen Port kommuizieren, also nicht nur über die Standard-Ports 21 oder 22.
.
Wir benutzen einen freien Port in Richtung 60.000, der zur Zeit noch nicht mit bösartigen Anfragen geflutet wird.
.

Die Zugangsbedingungen für die Nutzung des SSH Protokolls werden im SSHD- Server in der Datei /etc/sshd/sshd.conf geregelt. Die Möglichkeiten und Vorgaben des Dateizugriffs werden in der /etc/vsftp.conf geregelt.
.
Jeder akzeptierte Benutzer wird in sein eigenes lokales Verzeichnis geleitet und dort hat er die freie Verfügung.
.