Hi,
wie ist am sinnvollsten, aufm Server gibts nur den Benutzer root für SSH und so, dann www-data (damit läuft apache2). Die Dateien die per FTP hochgeladen wurden gehören root und auch der Gruppe root, apache kann die ohne Probleme lesen und schreibt mit dem User www-data, die ich per FTP auch als root ändern kann etc. Meine Frage ist nun ob das auch sinnvoll ist oder ob das bedenklich ist (Sicherheit, etc.) Was ist da die beste Lösung?
Mfg sdfsdf
Einstieg Apache, PHP, Benutzer und Dateirechte
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Einstieg Apache, PHP, Benutzer und Dateirechte
FTP-Zugriff als root? Pfui, dafür legt man sich einen dedizierten Benutzer an, der nichts kaputt machen kann oder nutzt im Notfall SFTP/SCP.
Re: Einstieg Apache, PHP, Benutzer und Dateirechte
Deswegen frage ich ja, habe jetzt einen separaten FTP user, nur welche Dateirechte sollten die Dateien haben die per Web aufrufbar sind? Wem sollten die gehören? Dem FTP user oder jemand anderem?
gruß
gruß
Re: Einstieg Apache, PHP, Benutzer und Dateirechte
Das kommt darauf an, wie Dein Webserver konfiguriert ist. Wenn es sich nur um statische Inhalte (HTML-Dateien, CSS, Javascript, Bilder, ...) handelt, kannst Du als Owner und Group den FTP-Benutzer bzw. dessen Gruppe (eigene Gruppe erstellen, nicht user benutzen!) drinlassen, Dateirechte auf 0640 setzen und den Webserver-Benutzer (www, wwwrun - je nach Distribution) der Gruppe des FTP-Benutzers hinzufügen. Dann kann der Webserver lesend (und nur lesend) auf die Dateien zugreifen und sie ausliefern.
Bei dynamischen Inhalten (php, perl, python, ruby) ist das ganze etwas komplizierter und hängt davon ab, wie die Dateien ausgeführt werden (CGI, FastCGI, suexec, suphp, mod_php, mod_perl, mod_python und was es noch so alles gibt). In puncto Sicherheit sind suexec bzw. suphp ungeschlagen, da die Skripte unter jeweils eigenen Usern laufen können und sich so nicht ins Gehege kommen.
Bei dynamischen Inhalten (php, perl, python, ruby) ist das ganze etwas komplizierter und hängt davon ab, wie die Dateien ausgeführt werden (CGI, FastCGI, suexec, suphp, mod_php, mod_perl, mod_python und was es noch so alles gibt). In puncto Sicherheit sind suexec bzw. suphp ungeschlagen, da die Skripte unter jeweils eigenen Usern laufen können und sich so nicht ins Gehege kommen.
Re: Einstieg Apache, PHP, Benutzer und Dateirechte
Es gibt sowohl reine statische Seiten als auch CMS Seiten (mit PHP + Mysql). Am liebsten wäre mir ja eine FCGI Lösung, da ich des bis jetzt nur gutes darüber gelesen habe, allerdings habe ich keine kunden die unabhängig laufen müssen, daher weiß ich nicht ob das überhaupt nötig ist... wie würdet ihr es einrichten?
gruß
gruß
Re: Einstieg Apache, PHP, Benutzer und Dateirechte
Wenn nur eine PHP-Applikation laufen soll und ohnehin Apache genutzt wird, dann würde ich mod_php benutzen. Die FastCGI-Implementierungen für den Indianer haben immer noch Kinderkrankheiten, und der Konfigurationsaufwand ist erheblich höher als bei mod_php. Sobald aber mehrere Applikationen (z. B. phpMyAdmin o. ä.) noch mit ins Spiel kommen, würde ich FastCGI vorziehen - man möchte ja schließlich nicht, dass eine Lücke in einer der Applikationen gleich die Integrität der übrigen ebenfalls gefährdet (auch wenn unterschiedliche Nutzer da nur eine durchaus überwindbare Hürde darstellen). Eventuell wäre ein anderer httpd als Apache für Dich interessant - mit Lighttpd z. B. ist die FastCGI-Anbindung sehr einfach und angenehm zu konfigurieren und auch einigermaßen stabil implementiert.
Re: Einstieg Apache, PHP, Benutzer und Dateirechte
ok bleibe ich also erstmal mit mod_php, habe gerade dfad hier gefunden: http://httpd.apache.org/docs/2.2/mod/mo ... cusergroup damit kann ich doch die benutzer auch setzen, auch ohne cgi oder ist das bedenklich?
gruß
gruß
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Einstieg Apache, PHP, Benutzer und Dateirechte
SuExec greift nur bei (Fast)CGI, nicht bei mod_php.