# Systemdokumentation: APS-SFTP01 Datenaustausch-Server

Dieses Dokument beschreibt die Funktionsweise, das Berechtigungssystem und die Zugriffspfade des Servers **APS-SFTP01 (10.102.1.202)**.

## 1. Systemübersicht
Der Server dient primär der Bereitstellung der **Amondis Schnittstelle**. Er bietet zwei parallele Zugriffsmethoden auf dieselben Daten:
1. **Samba (SMB):** Windows-Freigabe für das interne Netzwerk.
2. **SFTP:** Sicherer Datentransfer über eine verschlüsselte SSH-Verbindung für externe oder automatisierte Übertragungen.

## 2. Benutzer und Zugriff
| Benutzer | Typ | Shell | Aufgabe |
| :--- | :--- | :--- | :--- |
| `mave-amondis` | SFTP/SMB | `/sbin/nologin` | Datenupload und Verarbeitung |

*Hinweis: Der Benutzer hat keine Berechtigung für eine interaktive SSH-Anmeldung (Terminal).*

## 3. Verzeichnisstruktur und Berechtigungen
Aufgrund der SFTP-Sicherheitsanforderungen (Chroot) und der gemeinsamen Schreibrechte ist die Struktur wie folgt aufgebaut:

| Pfad | Besitzer | Berechtigung | Rolle |
| :--- | :--- | :--- | :--- |
| `/home/mave-amondis` | `root:root` | `755` | SFTP Home (nicht beschreibbar) |
| `/home/mave-amondis/Schnittstellen` | `root:root` | `755` | **SFTP Chroot-Gefängnis** |
| `/home/mave-amondis/Schnittstellen/Amondis` | `mave-amondis:mave-amondis` | `775` | Beschreibbares Arbeitsverzeichnis |
| `/home/mave-amondis/Schnittstellen/Amondis/APO` | `mave-amondis:mave-amondis` | `775` | Konkreter Datenübergabepunkt |

## 4. Netzwerkzugriff

### SMB (Windows Freigabe)
*   **Pfad:** `\\10.102.1.202\mave-amondis\Schnittstellen\Amondis\APO`
*   **Konfiguration:** Samba verwendet die Einstellung `force user = mave-amondis`. Dadurch wird jede über SMB erstellte Datei automatisch dem Benutzer `mave-amondis` zugewiesen, um Berechtigungskonflikte zu vermeiden.

### SFTP (Secure FTP)
*   **Host:** `10.102.1.202`
*   **Port:** `22` (SSH Standard)
*   **Funktionsweise:** Nach der Anmeldung sieht der Benutzer sofort den Inhalt des Ordners `Schnittstellen` (d.h. den Ordner `Amondis`). Ein Wechsel in höhere Verzeichnisebenen ist nicht möglich.

## 5. Automatische Benachrichtigungen (Monitoring)
Auf dem Server läuft ein benutzerdefiniertes PAM-Skript (Pluggable Authentication Module):
*   **Skript-Pfad:** `/usr/local/bin/sftp-notify.sh`
*   **Funktion:** Sendet bei jeder erfolgreichen Anmeldung (SFTP und SSH) eine E-Mail an den Administrator (`i.meszely@antares-apo.de`).
*   **Log-Datei:** `/tmp/sftp-notify.log`

## 6. Wartungsbefehle (Cheat Sheet)

### Berechtigungen reparieren (falls erforderlich):
```bash
sudo chown root:root /home/mave-amondis /home/mave-amondis/Schnittstellen
sudo chown -R mave-amondis:mave-amondis /home/mave-amondis/Schnittstellen/Amondis
sudo chmod 755 /home/mave-amondis /home/mave-amondis/Schnittstellen
sudo chmod -R 775 /home/mave-amondis/Schnittstellen/Amondis
```

### Dienste neu starten:
```bash
sudo systemctl restart smb nmb  # Samba
sudo systemctl restart ssh      # SFTP/SSH
```

---
*Erstellt am: 24. März 2026*