apache2 - mod-php5 - ftp-uploads - schreibrechte

[tonitone]

hallo ich habe folgendes problem

ich hatte meinen web-server eine ganze zeit nach dem howto "Debian Sarge, Apache2, Suexec2, mod_fastcgi, php5-fcgi HowTo" am laufen, und habe auf dieses tutorial basieren ein administrations-tool geschrieben zum verwalten und erstellen neuer vhosts. (daher fällt confixx mal aussen vor, falls mir jemand raten sollte darauf umzusteigen, wenn er die vielen anspielungen auf ein confixx-system weiter unten ließt)

muss nun aber auf php5 als modul umstellen.

die umstellung erfolgte, jedoch ergeben sich nun probleme im zusammenspiel von upgeloade'ten files "per ftp" und der schreibrechte von www-data auf das die file.

ist-zustand des systems:

Apache/2.0.54
(Debian GNU/Linux)
DAV/2
SVN/1.1.4
PHP/5.0.4-0.9sarge1
mod_ssl/2.0.54
OpenSSL/0.9.7e

- ich benutze virtuelle-pure-ftpd user, und kann beim erstellen eines users explizit sagen welche gruppen/user-rechte files kriegen beim upload.

- ich habe mir eine suexec2 kompiliert die auf meine verzeichnisstrukur passt:

Code: Select all

xxx :~# /usr/lib/apache2/suexec2 -V
 -D AP_DOC_ROOT="/home"
 -D AP_GID_MIN=100
 -D AP_HTTPD_USER="www-data"
 ...

- user-verzeichnisstruktur sieht so aus:

Code: Select all

/home/kunde1/backup
            /domains/
                     domain1.tld/
                                 backup/
                                 cgi-bin/
                                 htdocs/
                                 session/
                                 tmp/
                                 logs/
                     domain2.tld/
                                 ...

- eine vhost-datei sieht so aus:

Code: Select all

<VirtualHost *:80>
    ServerAdmin     mail[at]domain1.tld
    ServerName      domain1.tld
    ServerAlias     www.domain1.tld

    DocumentRoot    /home/kunde1/domains/domain1.tld/htdocs
    DirectoryIndex  index.html index.htm index.php

    SuexecUserGroup kunde1 ftpgroup

    <Directory /home/kunde1/domains/domain1.tld>
        Options FollowSymLinks
        AllowOverride AuthConfig
        Order allow,deny
        allow from all
    </Directory>

    ScriptAlias /cgi-bin /home/kunde1/domains/domain1.tld/cgi-bin

    php_admin_value open_basedir /home/kunde1/domains/domain1.tld
    php_admin_value upload_tmp_dir /home/kunde1/domains/domain1.tld/tmp
    php_admin_value session.save_path /home/kunde1/domains/domain1.tld/session
    php_admin_value safe_mode on

    ErrorLog /home/kunde1/domains/domain1.tld/logs/error.log
    CustomLog /home/kunde1/domains/domain1.tld/logs/access.log combined

    ServerSignature On

</VirtualHost>

- eine nach dem ftp-upload mit rechten versehene datei sieht so aus:
-rw-r--r-- 1 kunde1 www-data 108 Jul 21 14:52 info2.php

nun die problemstellung:

wie will mein system so konfigurieren, damit, ähnlich wie bei einem system mit einem admin-tools wie confixx, die user sachen per ftp uploaden können und der apache trotzdem die rechte aufs überschreiben der files hat, bzw selber dateien in dem verzeichnis erstellen kann?

beispiel-datei auf einem confixx-system:
-rw-r--r-- 1 web10 ftponly 7866 Feb 21 17:01 user.php

diese datei gehört der gruppe ftponly und dem user web10. mir will einfach nicht in kopf, wie soetwas funkioniert, dass der apache-da trotzdem schreiben kann, bzw. wie ist ftp-only oder die user mit dem apache-verbunden, damit das funzt.

oder ist generell etwas noch an einem solchen system anders (vielleicht noch ein anderes modul für den apache drinn) damit sowas funkioniert.

ich hoffe ich konnte mein anliegen verständlich rüberbringen und danke schon mal fürs lesen ;)

gruß toni

[antondollmaier]

suPHP nutzen :D

(oder php-fastcgi ...)

beidemale: siehe debianhowto.de


HTH

[tonitone]

mein system lief auf php5-fcgi (siehe einleitungssatz) und benötige nun die modul-version von php.

mit suPHP habe ich mich noch nicht auseinandergesetzt.

entschuldige, aber das war leider keine antwort auf mein problemstellung, oder nutzen solche systeme suPHP?

gruß
toni

[antondollmaier]

ok, überlesen ...

was mir grade auffällt ...

du hast als suexecusergroup kunde1 sowie ftpgroup ... die dateien werden aber als gruppe www-data hochgeladen ...


bei confixx/mod_php kann der apache auch nur schreibend auf die verzeichnisse/dateien zugreifen, wenn diese chmod 0777 haben ... (oder zumindest 0666 ... ) ... daher suPHP, das ähnlich zu fastcgi ist ... dadurch laufen zumindest die PHP-skripte mit den suexec-usern ...

[tonitone]

danke für den tip, das es confixx auch nicht anders macht

hab ein bisschen rumprobiert, und 2 möglichkeiten gefunden, wie ich es lösen könnte:

1.
ich gebe dem webverzeichnis die rechte
user1.ftpgroup und muss zum beschreiben von files die rechte auf 666 setzen

oder

2.
ich gebe dem webverzeichnis die rechte
user1.user1
trage in der /etc/group zu der jeweiligen user1 gruppe
"user11001:www-data" ein.
dann reichen zum apache-seitigen schreiben von user-files die rechte 660


welche lösung würdest du/ihr empfehlen? - bzw. wo siehst du nachteile?