Confixx 3.1, ACL

[moppi]

Hallo Ihr Lieben, :)

ich habe gerade Confixx 3.1 in der Hand und würde das in den kommenden Tagen auf einem Webserver installieren. Das System ist gentoo, mit Apache, MySQL4, vsFTP, Qpopper.
Hat da bereits jemand Erfahrungen sammeln können bei einer Neuinstallation oder Update?

Dann habe ich noch eine Ã?berlegung über die ich mich gern mit anderen austauschen möchte. Wenn ich PHP im CGI mode betreibe dann werden ja alle Scripte als der entsprechende User ausgeführt. Das Problem was dabei besteht ist das jeder User einfach in ein anderes Web/Verzeichnis Dateien einsehen kann, und somit MySQL Zugangsdaten und andere Sachen ausspionieren kann. Dazu kam mir die Idee das ich das ja prima über ACL's lösen könnte. Dazu meine Ã?berlegung, es müsste ja ausreichen wenn der User apache und die gruppe apache (apache ist mein Systemuser) lesenden zugriff hat auf alle Verzeichnisse unterhalb htdocs. Den Lesezugriff würde ich über die ACL defaults vererben lassen, damit die neuen Verzeichnisse die Berechtigungen übernehmen. Anschließend würde ich die Leserechte von others entziehen.

Ich würde mich freuen wenn ich objektive Meinungen und evtl. Lösungsansätze lesen könnte.

Viele Grüße
Daniel

[Roger Wilco]

ich habe gerade Confixx 3.1 in der Hand und würde das in den kommenden Tagen auf einem Webserver installieren. Das System ist gentoo, mit Apache, MySQL4, vsFTP, Qpopper.
Hat da bereits jemand Erfahrungen sammeln können bei einer Neuinstallation oder Update?

http://gentoo-wiki.com/HOWTO_Confixx3

Warum willst du dir eigentlich freiwillig qpopper antun?

Wenn ich PHP im CGI mode betreibe dann werden ja alle Scripte als der entsprechende User ausgeführt.

Ohne weitere Zusätze wie Suexec, nein.

Das Problem was dabei besteht ist das jeder User einfach in ein anderes Web/Verzeichnis Dateien einsehen kann, und somit MySQL Zugangsdaten und andere Sachen ausspionieren kann.

Bei richtiger Konfiguration, nein. Der Apache-Benutzer sollte die Dateien allerdings schon lesen können.

Ich würde mich freuen wenn ich objektive Meinungen und evtl. Lösungsansätze lesen könnte.

Klingt doch gut. Probier es einfach aus.

[aldee]

Bei richtiger Konfiguration, nein. Der Apache-Benutzer sollte die Dateien allerdings schon lesen können.

Nö. Für per SuEXEC auszuführende Skripte reichen Owner-Permissions (das gilt nicht für die zugehörigen Verzeichnisse).

[Roger Wilco]

Nö. Für per SuEXEC auszuführende Skripte reichen Owner-Permissions (das gilt nicht für die zugehörigen Verzeichnisse).

Skripte, die über Suexec (oder Ã?quivalent) aufgerufen werden: ja, statische Inhalte, die direkt vom Apache ausgeliefert werden müssen: nein.

[moppi]

ich habe gerade die acl gesetzt für das /home dir wo meine www seiten die confixx verwaltet drinnen liegen mit folgendem befehl:

Code: Select all

setfacl -Rm user:apache:r--,group:apache:r-- /home

kurz überprüft:

Code: Select all

# getfacl /home/www/web6/html/index.php
getfacl: Removing leading '/' from absolute path names
# file: home/www/web6/html/index.php
# owner: web6
# group: web6
user::rw-
user:apache:r--
group::r--
group:apache:r--
mask::r--
other::r--

und apache meldet anschließend forbidden. obwohl mein Apache als apache:apache läuft. Danach wollte ich eben die permissions von group und others auf --- setzen. So weit meine Idee aber irgendwas muss ich wohl übersehen haben.

Hat jemand einen Tip?