.

.

Nachdem der Wurm bezüglich des ftp-Zugriffs aus unserem internen LAN auf den ftp-Server in unserem public-LAN in unserer Firewll gefunden wurde, bin ich zum VSFTP Server zurückgekehrt. Denn an dem lag es ja gar nicht. Also die alternativen ftp-Server "pure-ftp" und "pro-ftp" waren genauso von der Sperre betroffen.

Darum nochmal zu den Randbedingungen unseres Download- Konzeptes:

Jeder Account (jeder Benutzer) landet für sich alleine in einem geschlossenen Verzeichnis, wie auf einer Insel, die Zugangsbenutzer sind dort einzeln "eingesperrt", und das ist absichtlich so.

Jeder Account (jeder Benutzer) bekommt Zugriff auf genau diese Themen- orientierten Dateien, die er sehen und auch downloaden kann. Die Informationen über den jeweiligen Inhalt solch eines Verzeichnisses bekommt er (vorher) auf der erklärenden Webseite, auf der auch der Link zu diesem Accont (den Dateien) beschrieben ist.
.

Beim Anlegen eines Benutzers (das ist solch ein Account) werden zumindest Name und Passwort erfragt. Dann wird für diesen Benutzer im /home/- Verzeichnis des Servers ein Unterverzeichnis unter dem Account-Namen angelegt, und alles geschieht automatisch.

In der Config-Datei für den VSFTP-Server werden die Begrenzungen des "local jail" global definiert Doch das ist (noch) nicht handlich. Denn jeder Benutzer könnte die anderen Verzeichnisse des Servers (sogar einschließlich der Linux- Systemverzeichnisse) einsehen und auch dort (unerlaubt) Dateien runter laden. Und das darf nicht sein.

Also müssen zusätzlich zu der globalen "vsftp.conf" Datei weitere Begrenzungen auf Verzeichnis-Ebene eingebaut werden. Der aktuelle Benutzer darf die anderen Verzeichnisse nicht nur nicht sehen, sondern er darf auch dort nichts herunterladen.

Der aktuelle Benuzer bekommt auch die Gruppenrechte (z.B. "user" oder "ftp") weggenommen !!!, er steht für sich ganz alleine mit ganz wenigen Rechten da. Auch das ist absichtlich.
.

Im "Linux Jargon" sind das alles "user", doch bei uns nicht. Die Video-Dateien über die DLT Bandlaufwerke zum Beispiel oder unsere Karlsruher Kirchen-Konzert - Musiken wohnen in einem schreibgeschützten "Account".

Dagegen die Upload- und Download Verzeichnisse von namentlich genannten Personen sind bei uns "Benutzer".
.

Auf der Seite 10 habe ich alle Download-Protokolle aufgeführt, wie sie funktionieren, mit den Vorteilen und den Nachteilen - aus der Sicht des Clients - des Benutzers.
.
Hier kommen die Gedanken aus der Sicht des Server-Administrators.
.
Seit 25 Jahren administrieren wir unsere Opensuse Linux Server mit dem Terminal- Programm "putty" unter Windows. Dieses Programm benutzt eine verschlüsselte Verbindung vom PC durch alle Firewalls und Router und Swítches hindurch bis zu der gewünschten Linux Server-Installation - "irgendwo" im Netz. Alle Daten dieser Verbindung werden verschlüsselt übertragen. Dieses Terminal- Programm kann über jeden beliebigen Port kommuizieren, also nicht nur über die Standard-Ports 21 oder 22 und es braucht nur eine Port.
.
Wir benutzen einen freien Port in Richtung 60.000, der zur Zeit noch nicht mit bösartigen Hacker-Anfragen geflutet wird.
.

Die Zugangsbedingungen für die Nutzung des SSH Protokolls werden für den SSHD- Server in der Konfig-Datei /etc/sshd/sshd.conf geregelt.

Und jetzt kommt der Irrrtum: Die Möglichkeiten und Vorgaben des Dateizugriffs werden NICHT MEHR in der Konfig-Datei des VSFTP-Servers /etc/vsftp.conf geregelt.
.

Die SFTP-Verbindung vom Client zum Download Server funktioniert auch ohne ein solches ftp-, ftps oder vsftp- Server-Programm. Der SSHD Server muß gestartet sein. Das ist er bei uns immer - er ist nämlich zum Konfigurieren des Servers absolut notwendig.

Die "scp"-(secure copy) Verbindung über den SSH Dienst kann (nur) der Admin mit WINSCP ausprobieren. Der für uns sehr große Nachteil bei scp-Verbindungen ist, wirklich alles - also alle Dateien bis in die tiefsten Linux-Eingeweide - ist jetzt öffentlich zu sehen und herunter zu laden. Das geht natürlich gar nicht und kontakariert unsere ganzen Bemühungen der Themen-Trennung und der Sicherheit.
.
Darum wird "scp" nicht zugelassen und im Server blockiert.
.

.