Moin,
ich wollte auf meinem Server, auf dem ein paar Freunde noch ihre Seiten haben von Systemusern auf virtuelle User umstellen. Jetzt habe ich aber suphp laufen. Und dabei werde ich ja schon stutzig. Macht diese Kombination ueberhaupt Sinn? Bei virtuellen Usern gehoeren die Dateien ja alle einem gemeinsamen Benutzer, aber damit wird die ganze Sache ja fast wieder hinfaelling wenn doch jeder wieder auf alle Dateien zugreifen darf. Auch open_basedir kann doch eigentlich nicht mehr klappen, oder?
Hab ich da gerade einen Denkfehler oder fehlt mir gerade ein anderes Stichwort was ich vielleicht anderes machen moechte um doch mit virtuellen Usern arbeiten zu koennen, aber doch einen gewissen Basisschutz vor bewussten oder unbewussten Dateizugriffen zu haben?
Fragen ueber Fragen ....
suPHP und virtuelle User
Re: suPHP und virtuelle User
Denkfehler :)
Bei suPHP können die Skripte den FTP-Usern (das müssten ja normalerweise Systemuser sein) gehören. Diese Skripte werden dann auch unter Diesen Usern ausgeführt.
D.h.:
Wenn ich als helios24 mich am Server anmelde (FTP) und meine Dateien hochlade, gehören die mir (helios24).
Wenn der Apache diese Dateien nun ausführt, tut er das als User helios24.
Alles klar? ;)
Moritz
Bei suPHP können die Skripte den FTP-Usern (das müssten ja normalerweise Systemuser sein) gehören. Diese Skripte werden dann auch unter Diesen Usern ausgeführt.
D.h.:
Wenn ich als helios24 mich am Server anmelde (FTP) und meine Dateien hochlade, gehören die mir (helios24).
Wenn der Apache diese Dateien nun ausführt, tut er das als User helios24.
Alles klar? ;)
Moritz
Re: suPHP und virtuelle User
Nee, denn das was Du beschreibst ist ja genau das, was ich jetzt habe. Alle User sind in der passwd, etc. vorhanden. Ich will aber virtuelle User haben, die nur in einer Datenbank stehen. Im Dateisystem gehoeren die Dateien von "Hans Wurst" dem User ftpvirtual, genau wie die Dateien von "Rumpelstielzchen" oder "Raeuber Hotzenplotz".helios24 wrote:Alles klar? ;)
Und wenn die Dateien alle dem User ftpvirtual gehoeren, dann kann suPHP ja irgendwie nicht mehr verhindern, dass Hans Wurst per Script auf die Datien von Rumpelstielzchen zugreift.
Aber irgendwie muss ed doch gehen. "Richtige" Provider werde doch auch kaum mit Systemusern arbeiten.
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: suPHP und virtuelle User
Wieso denn nicht? UNIX-Permissions kannst du halt nur Benutzern geben, die dem System in irgendeiner Form bekannt sind (passwd, NIS, LDAP...)Nyxus wrote:Aber irgendwie muss ed doch gehen. "Richtige" Provider werde doch auch kaum mit Systemusern arbeiten.
-
superuser1
- Posts: 291
- Joined: 2003-11-26 18:43
- Location: earth
Re: suPHP und virtuelle User
Hi...
:roll:
"Richtige" Provider arbeiten (hoffentlich) ausschließlich mit Systemusern..."Richtige" Provider werde doch auch kaum mit Systemusern arbeiten.
:roll:
Re: suPHP und virtuelle User
Ja und irgendwie hat das doch überhaupt keinen Sinn mit viruellen Users zu arbeiten, weil dann eben ALLE User auf ALLE Kundendateien zugreifen können
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57
Re: suPHP und virtuelle User
Warum? Syscp z.b. hat nur Mysql Nutzer mit einer ID die nicht auf dem System vorhanden ist. Also kann ich mit suPHP ja nur auf diese Dateien zugreifen und wenn ein Script versucht andere Programme zu starten, führt es dies mit der Berechtigung von diesem User aus. Da er aber kein Systemuser ist, kann diese Script ja nur auf Dateien zugreifen die mit deren UID bzw. GID markiert ist bzw. 777 Berechtigung haben. Alle Dateien haben ja als Standard eine 755 Berechtigung und können dadurch höchstens ausgelesen werden, was aber bei den meisten Sachen nicht mal das schlimme wäre. System- oder Virtuelle User sind eigentlich beide gleich sinnvoll, oder hab ich da jetzt doch ein denkfehler? Also eigentlich sind Virtuelle User doch besser finde ich.
Re: suPHP und virtuelle User
Nein. Denkfehler
SysCP verwaltet MySQL User, EMail User und FTP User in einer MySQL Datenbank.
Aber nicht die WebUser. Und ein Skript kann nicht unter einem nicht Systemuser laufen, denn wie soll er denn unter nicht Unixaccounts starten??
SysCP verwaltet MySQL User, EMail User und FTP User in einer MySQL Datenbank.
Aber nicht die WebUser. Und ein Skript kann nicht unter einem nicht Systemuser laufen, denn wie soll er denn unter nicht Unixaccounts starten??
Re: suPHP und virtuelle User
Es ist durchaus möglich suPHP mit SysCP zusammen zu verwenden. Im SysCP Forum gibt es einen entsprechenden Thread dazu. Und das mit dem nicht Systemuser ist grober Unfug. Man kann suPHP der ./configure Option dazu bewegen, den Systemusercheck auszulassen. In Verbindung mit NSS geht das dann auch mit virtuellen Benutzern in einer MySQL DB z.B.
Re: suPHP und virtuelle User
Oh, okay. da wusste's du wohl mehr als ich.
Re: suPHP und virtuelle User
suPHP einfach nach dieser methode kompilieren:
dann funzt das auch mit syscp's virtuellen usern.
wichtig ist hier das
Code: Select all
./configure --disable-checkuid --disable-checkgid --with-apache-user=www-data --with-php=/usr/lib/cgi-bin/php4 --with-logfile=/var/log/apache/suphp.log --with-apxs=/usr/bin/apxswichtig ist hier das
Code: Select all
--disable-checkuid --disable-checkgid