Schreibrechte setzen für /var/lib/php5 ?

[jan10001]

Hallo,

auf meinen neuen Server habe ich Plesk 9 laufen, das mir anbietet PHP als Apache Modul, FastCGI und CGI Applikation. Während die Schreib- und Benutzerrechte für die Apache Modul Variante reichen,

Code: Select all

/var/lib/php5 wwwrun:root rwx-r-x-r-x

reicht das für FastCGI nicht, weil hier das Script ja im Namen des Users läuft.
Meine Frage, wäre es der Sicherheit wegen bedenklich wenn ich das Verzeichnis für alle zum Schreiben freigebe?

Code: Select all

/var/lib/php5 wwwrun:root rwx-rwx-rwx

Grüße,
Jan

[rudelgurke]

Wenn mehrere FastCGI Nutzer existieren, wäre es vielleicht am besten für jeden einzelnen Nutzer ein Verzeichnis zu erstellen, nur dort Schreibrechte zu erteilen - kann via php.ini eingestellt werden die dann jedem Nutzer "untergeschoben" wird.

[jan10001]

Hm, ich glaube ich mache es so: Da für jede PHP Variante eine globale PHP.ini existiert, erstelle ich für FastCGI ein eigenes Verzeichnis.

Code: Select all

/var/lib/php5fastcgi root:psacln rwx-rwx----

Da die Rechte für die geschriebenen Sessions eh 600 sind, ist die Session geschützt. Vielleicht noch ein Sticky-Bit setzen um unberechtigtes Löschen zu verhindern.

Ich mag nicht für jeden FastCGI User ein Verzeichniss erstellen, zudem behält man den besseren Überblick wenn sich dort Datenmüll ansammelt.

@matzewe01

Bei mir funktionieren jedoch Fastcgi mod_php etc. per default Installation.

Könntest du mir mal posten welche Gruppe dein Verzeichnis hat und welche Rechte.

[jan10001]

@matzewe01

drwxr-xr-x 2 wwwrun root 4096 22. Apr 09:33 php5

Dann benutzt du nur das PHP Apache Modul, denn hier ist der Besitzer immer wwwrun und somit haut es hin.
Bei PHP FastCGI ist das anders, hier läuft der Prozess mit den Rechten des jeweiligen Users. Folglich kann der Besitzer User1, User2 usw. sein, deswegen haut es mit der Plesk Vorgabe nicht hin. Bei Plesk ist die Einstellung was man nutzen bei Hostingseinstellungen zu finden, Standartvorgabe ist PHP Apache Modul mit Safemode On.

[jan10001]

Dann schreiben die aber die Sessions nicht in /var/lib/php5, denn das können sie ja nicht. Aber wohin schreiben sie dann die Sessions??? Könnte es sein das die Anwendungen ein eigenes Session Verzeichnis im Userspace angelegt haben?

[Roger Wilco]

Dann schreiben die aber die Sessions nicht in /var/lib/php5, denn das können sie ja nicht.

Die Nutzung von FastCGI impliziert nicht unbedingt auch die Nutzung von SuExec und ähnlichen Mechanismen.

[jan10001]

Hm, interessant. Da werde ich wohl suchen und mich einlesen, suexec habe ich auch aber es scheint nicht so zu arbeiten wie es soll. Vermutlich ist das 1&1 Installationsimage nicht ganz sauber.