Alex_BratskЕсть папка update расшареная в самбе, права доступа 777. (чтобы был полный доступ) Есть ФТП с возможностью записи анонимам в папку incoming. При монтировании update в папку ФТП анонимы также могут в нее писать. Монтирую так: mount --bind /update /var/ftp/update Если ставлю доступ 755, то в ФТП нормально, зато в самбе не могу писать. опции монтирования типа ro, umask не работают. Как можно ограничить анонимам доступ на запись к этой папке, не ограничивая самбу.

Alex_BratskАнонимы в папку incoming могут писать-читать, все остальные папки только читать. Настройки proftpd, как я понимаю действуют глобально и опцией READ я запрещаю запись всем. Надо почитать документацию о proftpd. Я выбрал pure-ftpd из-за того что там есть перекодировка для клиентов. До этого пользовался vsftpd.

Коллега, Вы подумайте чуть-чуть ВЫШЕ настроек.

Ваш демон ftpd работает с определёнными правами доступа, с которыми он запускается
(если root:root - то это сильно несекурно, равно как и chmod +s для вашего ftpd).
Точно так же работает samba.

Даже если они пишут в один каталог - то не могут прыгнуть выше тех прав, которые им
даёт файловая система.
Примет - сделайте на этот каталог chown +R root:root catalog_name
(примерно так - если с лексикой не напутал - давно в linux кнопки не жал),

и вообще никто и ничего туда не запишет.

Мысль отслеживаете ?

Есть мнение - что необходимо правильно настроить права доступа демонов.

Alex_BratskКомандами chmod и chown пользуюсь постоянно. В Самбе гости только читают, авторизованные пользователи читают-пишут. Уровень доступа в Самбе USER. Я не могу придумать как отделить котлеты от мух, т.е. пользователи ФТП и пользователи Самбы. В ФТР это ftp:ftp в Самбе nobody:nogroup гости и user:user авторизованные.

Я в своё время безумно мучался с согласованной работой трёх разных сервисов от двух
разных контор, которые к тому-же писал не я, и пришёл к банальному выводу - всех
включил в одну группу, запускал от имени одного пользователя и с его правами,
и под эти права заточил доступ к рабочим каталогам.
И всё сразу стало хорошо.
Несекурность победил отслеживанием новых версий, командой chmod -s, навешиванием
поверх одеяла ipf с чётким разграниченим по портам - кому, куда и как возможно стучаться.
Ну и естественно - читайте логи - без них - никуда. :-)

Alex_BratskПолучилось! Пользователей самбы добавил в одну группу и назначил права доступа 775.

Таки - есть ещё похер в похеровницах.
Талант - его не пропьёшь... ;-)