doku für APS-SFTP01

Dev/APS-SFTP01/APS-SFTP01_System_Documentation_DE.md

@@ -0,0 +1,61 @@
+# Systemdokumentation: APS-SFTP01 Datenaustausch-Server
+
+Dieses Dokument beschreibt die Funktionsweise, das Berechtigungssystem und die Zugriffspfade des Servers **APS-SFTP01 (10.102.1.202)**.
+
+## 1. Systemübersicht
+Der Server dient primär der Bereitstellung der **Amondis Schnittstelle**. Er bietet zwei parallele Zugriffsmethoden auf dieselben Daten:
+1. **Samba (SMB):** Windows-Freigabe für das interne Netzwerk.
+2. **SFTP:** Sicherer Datentransfer über eine verschlüsselte SSH-Verbindung für externe oder automatisierte Übertragungen.
+
+## 2. Benutzer und Zugriff
+| Benutzer | Typ | Shell | Aufgabe |
+| :--- | :--- | :--- | :--- |
+| `mave-amondis` | SFTP/SMB | `/sbin/nologin` | Datenupload und Verarbeitung |
+
+*Hinweis: Der Benutzer hat keine Berechtigung für eine interaktive SSH-Anmeldung (Terminal).*
+
+## 3. Verzeichnisstruktur und Berechtigungen
+Aufgrund der SFTP-Sicherheitsanforderungen (Chroot) und der gemeinsamen Schreibrechte ist die Struktur wie folgt aufgebaut:
+
+| Pfad | Besitzer | Berechtigung | Rolle |
+| :--- | :--- | :--- | :--- |
+| `/home/mave-amondis` | `root:root` | `755` | SFTP Home (nicht beschreibbar) |
+| `/home/mave-amondis/Schnittstellen` | `root:root` | `755` | **SFTP Chroot-Gefängnis** |
+| `/home/mave-amondis/Schnittstellen/Amondis` | `mave-amondis:mave-amondis` | `775` | Beschreibbares Arbeitsverzeichnis |
+| `/home/mave-amondis/Schnittstellen/Amondis/APO` | `mave-amondis:mave-amondis` | `775` | Konkreter Datenübergabepunkt |
+
+## 4. Netzwerkzugriff
+
+### SMB (Windows Freigabe)
+*   **Pfad:** `\\10.102.1.202\mave-amondis\Schnittstellen\Amondis\APO`
+*   **Konfiguration:** Samba verwendet die Einstellung `force user = mave-amondis`. Dadurch wird jede über SMB erstellte Datei automatisch dem Benutzer `mave-amondis` zugewiesen, um Berechtigungskonflikte zu vermeiden.
+
+### SFTP (Secure FTP)
+*   **Host:** `10.102.1.202`
+*   **Port:** `22` (SSH Standard)
+*   **Funktionsweise:** Nach der Anmeldung sieht der Benutzer sofort den Inhalt des Ordners `Schnittstellen` (d.h. den Ordner `Amondis`). Ein Wechsel in höhere Verzeichnisebenen ist nicht möglich.
+
+## 5. Automatische Benachrichtigungen (Monitoring)
+Auf dem Server läuft ein benutzerdefiniertes PAM-Skript (Pluggable Authentication Module):
+*   **Skript-Pfad:** `/usr/local/bin/sftp-notify.sh`
+*   **Funktion:** Sendet bei jeder erfolgreichen Anmeldung (SFTP und SSH) eine E-Mail an den Administrator (`i.meszely@antares-apo.de`).
+*   **Log-Datei:** `/tmp/sftp-notify.log`
+
+## 6. Wartungsbefehle (Cheat Sheet)
+
+### Berechtigungen reparieren (falls erforderlich):
+```bash
+sudo chown root:root /home/mave-amondis /home/mave-amondis/Schnittstellen
+sudo chown -R mave-amondis:mave-amondis /home/mave-amondis/Schnittstellen/Amondis
+sudo chmod 755 /home/mave-amondis /home/mave-amondis/Schnittstellen
+sudo chmod -R 775 /home/mave-amondis/Schnittstellen/Amondis
+```
+
+### Dienste neu starten:
+```bash
+sudo systemctl restart smb nmb  # Samba
+sudo systemctl restart ssh      # SFTP/SSH
+```
+
+---
+*Erstellt am: 24. März 2026*