Hallo Ronny,

On Wed, Nov 13, 2019 at 14:27:44 +0100, Ronny Seffner wrote:

Ich habe einen Nutzer in /var/lib/extrausers/passwd|group|shadow: getent group its user1:x:10002:user1 getent passwd its user1:x:10002:10002:User:/var/www/webs/user1/:/bin/false

Zunaechst mal: Mit libnss-extrausers habe ich keine Erfahrung. Falls dieses schraege Konstrukt eigene Fehler verursacht, dann kenne ich die nicht.

Ausserdem ist nicht klar, um welchen User es Dir geht. Oben zeigst Du Eintraege fuer den user1, unten verwendest Du aber den user0.

Nun kann dieser Nutzer unter /var/www/webs aber per SFTP in alle Verzeichnisse (also z.B. auch user0)

Wer ist mit "dieser Nutzer" gemeint? user0 oder user1?

drwxr-x--- 36 user0 itcdd 4096 Okt 29 15:03 user0 drwxr-x--- 12 user1 its 4096 Okt 31 16:56 user1

Dass der user0 ins Verzeichnis user0 darf, ist offensichtlich. Er ist der Owner und fuer den stehen die Permissions auf rwx. Er darf dort also auch Dateien erzeugen/loeschen.

Falls user0 auch ins Verzeichnis user1 darf, muss er der Gruppe its angehoeren. Info ueber den user0 fehlt aber in Deiner Mail.

getfacl user0 # file: user0 # owner: user0 # group: user0 user::rwx group::r-x other::---

Da getfacl hier nur Verzeichnisname/Owner/Group sowie die klassischen UGO-Permissions anzeigt, ist die ACL leer und ein simples "ls -ld user0" haette ausgereicht.

Das gleiche Spiel klappt aber unter /home nicht überall (z.B. esets) getfacl /home/esets # file: home/esets # owner: esets # group: esets user::rwx group::r-x other::---

Wenn der user0 *nicht* der Gruppe esets angehoert, ist auch hier klar, warum er nicht ins Verzeichnis /home/esets darf. Zu getfacl gilt hier das gleiche wie oben.

Wieso gelingt user0 über SFTP das change directory und mehr (read von Dateien) unter /var/www/webs/user0, nicht aber in /home/esets?

Siehe oben. Uebersehe ich was?

Gruss, Christian