FTP: Nastavení práv na složku pro příchozí soubory – /incoming

Poměrně často dostávám dotaz, jak nastavit práva na FTP složku pro příchozí soubory – složku /incoming (i když já doporučuji jiný název, viz dále).

V podstatě chceme dosáhnout toho, aby anonymní uživatel:

  • mohl do složky libovolně přidávat soubory,
  • mohl zobrazovat seznam souborů ve složce – chceme mu dát možnost, aby si ověřil, že jeho soubor byl úspěšně nahrán,
  • nemohl ze složky soubory mazat – nechceme přeci, aby nám kdokoli mohl smazat soubory určené pro nás,
  • nemohl ze složky číst – nejenom, že nechceme, aby nám někdo cizí mohl číst soubory určené pro nás, ale navíc bychom si povolením čtení připravili hodně krušné chvíle – roboti totiž pravidelně procházejí FTP servery a přímo vyhledávají takovéto složky, kde je povolen zápis a čtení – v případě úspěchu se velmi rychle stanete uložištěm pro warez, videa a jiné nechtěné soubory.

Právě z posledního uvedeného důvodu, kdy se roboti zaměřují převážně na složku /incoming a ostatní složky pro zrychlení ignorují, doporučuji pojmenovat složku pro příchozí soubory jinak. V českém prostředí například /prichozi.

A teď jak na práva:

  • práva budeme nastavovat účtu anonymního uživatele (obvykle IUSR_SERVER),
  • práva aplikujeme přímo na složku pro příchozí soubory – /incoming, /prichozi,
  • nevystačíme si se standardní záložkou Vlastnosti ~ Zabezpečení, ale musíme dát „Upřesnit“,
  • vytvoříme pro anonymního uživatele pravidlo, kde Použít pro nastavíme na Tato složka a podsložky (standardně je to totiž Tato složka, podsložky a soubory) apovolíme vše mimo
    • Full Control – Úplné řízení,
    • Delete Subfolders and Files – Odstraňovat podsložky a soubory,
    • Delete – Odstraňovat,
    • Change Permissions – Měnit oprávnění
    • a Take Ownership – Přebírat vlastnictví.
  • ještě můžeme zvážit práva Zapisovat atributy, popř. Zapisovat rozšířené atributy, ale to už celkem není nic proti ničemu.
  • musíme si dát také pozor, jestli se nám z nadřazené složky nedědí nějaká další práva, ale nebývá to obvyklé (spíše by se dalo považovat za chybu, kdyby anonymní uživatel měl na kořenovou složku FTP serveru nějaká práva, která by se dědila na podsložky).

Tím, že pravidlo aplikujeme pouze na objekty typu složka, nikoliv na soubory, dosáhneme právě toho, že uživatel sice všechno uvidí, ale nebude moct číst jednotlivé soubory.

Také si dejte pozor, jestli Vám nevznikají práva k souborům nějakým jiným děděním, klasickou chybou jsou třeba práva pro CREATOR OWNER.

Napsat komentář

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

WordPress.com Logo

Komentujete pomocí vašeho WordPress.com účtu. Log Out / Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Log Out / Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Log Out / Změnit )

Google+ photo

Komentujete pomocí vašeho Google+ účtu. Log Out / Změnit )

Připojování k %s