Moin,

ich bräuchte bitte mal ein wenig kreativen Input

Folgende Situation:
Ein Debian-Server bei uns hostet ein paar Webseiten, in die jew. Web-Verzeichnisse haben die User des Kunden umfänglichen FTP-Zugriff (für jedes Verzeichnis einen extra User). Benutzt wird dabei vsftp.

Nun möchte der Kunde einen externen Berater zur Analyse des Web-Codes hinzuziehen - hierfür soll ein "read-only" FTP-Zugang geschaffen werden.
Die vorhandenen Verzeichnisse / Dateien sollen dabei möglichst nicht angefasst werden, also keine file permissions oder Gruppenzugehörigkeit ändern o.ä.

Ich bin mir nicht ganz sicher, wie hier idealerweise vorgegangen wird..

In der zentralen Config des vsftp hat man ja zB die Möglichkeit, ein

write_enable=NO

zu setzen, aber das gilt dann natürlich global.

- Einen neuen (System)User bauen? Der könnte dann der Gruppe zugeordnet werden, die der bereits bestehende FTP-User hat, und man könnte anschließend mit

chmod -R g-w /path/to/web

überall die Schreibrechte für die Gruppe ausschalten (der vorher vorhandene FTP-User könnte dann ja immer noch schreiben)
-> Nachteil: keine Ahnung, was damit rekursiv im gesamten Web-Verzeichnis angerichtet wird

Besser vielleicht:
- einen Virtual FTP User einsetzen?
Den könnte ich dann zumindest in das Web-Verzeichnis chrooten. Aber kann man das o.a.

write_enable=NO

dann in einer User-spezifischen Config anlegen, sodass es nur für ihn gilt?
Ist dieses dann "höherwertig" als evtl. vorhandene write-Rechte in den vorhandenen file permissions?
Und weiterhin: die read-Rechte würden dann ausschließlich von den file permissions für "other" bestimmt, korrekt?

Oder vielleicht hat jemand ja noch eine ganz andere Idee

Ich würde dem Kunden empfehlen eine eigene Quota anzulegen und dann dort die jeweiligen Dateien abzulegen, die vom externen Dienstleister untersucht werden sollen.
Die Datei- und Verzeichnisrechte auf Lesezugriff setzen und das wars.