[erledigt] Neuer FTP-User: Eigener Ordner der nicht über http erreichbar sein soll

  • Hallo,


    der Titel ist ein wenig kompliziert. Hoffentlich habe ich zumindest das richtige Unterforum verwendet :)


    Ausgangslage:
    Ich habe einen vserver wo täglich ein Backup bestimmter Ordner gemacht werden soll (ca. 200mb).
    Dieses Backup wird dann per FTP an meinem zweiten Account (mit Confix als Verwaltungoberfläche) hier bei Netcup hochgeladen.
    Hierzu habe ich einen eigenen Ordner (Name: backup-inc) angelegt und dann einem neuen User diesen Ordner zugeweisen.


    Problem:
    Ich würde mich gerne absichern - denn: Sollte mein vserver mal gehackt werden, entstehen 2 mögliche Probleme, da der Angreifer die Zugangsdaten von meinem zweiten FTP-Benutzer hat:


    Nr. 1
    backup-inc kann vom Angreifer geleert werden


    Ansatz 1: Zweiter Backup-Ordner (backup-secured) der per Cronjob synchron mit backup-inc gehalten wird.



    Nr. 2
    Der Angreifer könnte ein PHP-Skript hochladen, welches einfach alle Ordner des hosting-Accounts löscht nachdem es aufgerufen wurde


    Ansatz 1: Den Ordner backup-inc nur lokal aufrufbar zu machen (z.B. .htaccess).
    Diese .htaccess muss aber im root-Verzeichnis liegen, denn sonst könnte Mr. Böse die Datei im Ordner backup-inc löschen.


    Code
    1. <Directory "/var/www/web123456/html/backup-inc">
    2. order allow,deny
    3. deny from all
    4. </Directory>


    => Error 500


    Code
    1. <Directory "/var/www/web123456/html/backup-inc">
    2. Order deny,allow
    3. Deny from all
    4. Allow from 127.0.0.1
    5. </Directory>


    => Error 500


    Ansatz 2: Den Ordner backup-inc nicht in /html zu platzieren sondern einfach in einen Ordner außerhalb -> z.B. /files
    Problem: Confixx erlaubt es mir nur Nutzer innhalb von /html zu erzeugen



    Hat jemand von Euch eine Idee wo mein Fehler liegt oder wie ich die Situation am besten lösen kann?


    Vielen Dank.

  • Öm, Du kannst dich einfach einen FTP User für einen Ordner anlegen, wo keine Domain drauf zeigt.


    In Confixx ist doch ein /html Ordner im Hauptverzeichnis des Kunden Accounts, soweit ich mich errinnere.


    Dann lege doch einen Unterordner für jede Domain die Du bedienst an.
    Sprich:

    • /html
    • /html/vhosts/ => Hauptordner für Websites
    • /html/vhosts/com.example => Domain 1 zeigt auf diesen Ordner
    • /html/vhosts/com.google => Domain 2 zeigt auf diesen Ordner
    • /html/vhosts/de.meinetolledomain => Domain 3 zeigt auf diesen Ordner
    • /html/ftp/nichterreichbarerordner


    Auf den letzten Ordner zeigt einfach keine Domain, somit ist der Ordner dann auch nicht von außerhalb erreichbar. Und man muss sich nicht mit irgendwelchen .htaccess Dateien rumärgern.

  • Möchte nochmal dieses Thema rauskramen,


    da ich eine Frage an Dich habe perryflynn :


    Die Struktur habe ich wie von Dir vorgeschlagen auch auf meinem vserver umgesetzt.
    Gibt es aber ein "best practice" wie es mit subdomains gehandhabt wird?


    Code
    1. /var/www/com.example/htdocs/
    2. /var/www/com.example.subdomain/htdocs/


    oder


    Code
    1. /var/www/com.example/com.example/htdocs/
    2. /var/www/com.example/com.example.subdomain/htdocs/


    oder


    Code
    1. /var/www/com.example/com.example/htdocs/
    2. /var/www/com.example/com.example/htdocs/subdomain/


    usw.
    Hast Du da einen Tipp für mich?


    Vielen Dank.