# Systemdokumentation: APS-SFTP01 Datenaustausch-Server Dieses Dokument beschreibt die Funktionsweise, das Berechtigungssystem und die Zugriffspfade des Servers **APS-SFTP01 (10.102.1.202)**. Der Server dient zwei getrennten Importprozessen. ## 1. Systemübersicht Der Server fungiert als zentraler Datenaustauschpunkt für die Systeme Bremen und Amondis: 1. **Bremen-Mave Import:** Empfang externer Daten über SFTP. 2. **Amondis-Mave Import:** Empfang externer Daten über SMB (Samba), und import nach Mave mit SFTP Protokolle. ## 2. Benutzer und Zugriff ┌──────────────────┬──────────────┬───────────────┬─────────────────┬─────────────────────────────┐ │ Benutzer │ Prozess │ Typ │ Shell │ Aufgabe │ ├──────────────────┼──────────────┼───────────────┼─────────────────┼─────────────────────────────┤ │ mave-sftp │ Bremen-Mave │ Nur SFTP │ /sbin/nologin │ Import von Bremen-Daten │ │ mave-amondis │ Amondis-Mave │ SFTP & SMB │ /sbin/nologin │ Import von Amondis-Daten │ └──────────────────┴──────────────┴───────────────┴─────────────────┴─────────────────────────────┘ *Hinweis: Keiner der Benutzer ist für eine interaktive SSH-Anmeldung (Terminal) berechtigt.* ## 3. Verzeichnisstruktur und Berechtigungen ### Bremen-Mave Import (mave-sftp) ┌────────────────────────────────────────┬─────────────────────┬──────────────┬──────────────────────────────────┐ │ Pfad │ Besitzer │ Berechtigung │ Rolle │ ├────────────────────────────────────────┼─────────────────────┼──────────────┼──────────────────────────────────┤ │ /home/mave-sftp │ root:root │ 755 │ SFTP Chroot-Gefängnis │ │ /home/mave-sftp/Schnittstellen/Bremen │ mave-sftp:mave-sftp │ 775 │ Beschreibbarer Ordner für Bremen │ └────────────────────────────────────────┴─────────────────────┴──────────────┴──────────────────────────────────┘ ### Amondis-Mave Import (mave-amondis) ┌───────────────────────────────────────────────┬───────────────────────────┬──────────────┬─────────────────────────────┐ │ Pfad │ Besitzer │ Berechtigung │ Rolle │ ├───────────────────────────────────────────────┼───────────────────────────┼──────────────┼─────────────────────────────┤ │ /home/mave-amondis │ root:root │ 755 │ SFTP Home (nicht schreibbar)| │ /home/mave-amondis/Schnittstellen │ root:root │ 755 │ SFTP Chroot-Gefängnis │ │ /home/mave-amondis/Schnittstellen/Amondis/APO │ mave-amondis:mave-amondis │ 775 │ Beschreibbares Verzeichnis │ └───────────────────────────────────────────────┴───────────────────────────┴──────────────┴─────────────────────────────┘ ## 4. Netzwerkzugriff ### SMB (Windows Freigabe) * **Amondis-Pfad:** `\\10.102.1.202\mave-amondis\Schnittstellen\Amondis\APO` * **Funktionsweise:** Samba verwendet die Einstellung `force user = mave-amondis`, um Berechtigungskonflikte zu vermeiden. ### SFTP (Secure FTP) * **Bremen-Verbindung:** `sftp://mave-sftp@10.102.1.202` (sieht nach der Anmeldung den Ordner `mave-amondis\Schnittstellen\Bremen`). * **Amondis-Verbindung:** `sftp://mave-amondis@10.102.1.202` (sieht nach der Anmeldung den Ordner `Amondis\APO`). ## 5. Automatische Benachrichtigungen (Monitoring) Bei jeder erfolgreichen Anmeldung (für beide Benutzer) wird eine E-Mail-Benachrichtigung an den Administrator gesendet (`i.meszely@antares-apo.de`). * **Script-Speicherort:** `/usr/local/sbin/sftp-notify.sh` * **Funktionsweise:** Das Script wird durch das PAM-System (Pluggable Authentication Modules) bei jedem `open_session`-Ereignis aufgerufen. Es unterscheidet zwischen SFTP (eingeschränkt) und interaktiven SSH-Anmeldungen anhand der Benutzer-Shell und versendet die Details (Benutzer, Remote-IP, Zeitstempel) per E-Mail. * **Logdatei:** `/tmp/sftp-notify.log` (für das Debugging). --- *Aktualisiert am: 25. März 2026*