Apache2 ftp-Benutzer Benutzerrechte

[cirox]

Hi,

jaja die Rechte ;-). Nicht das ich irgendwas nicht zum laufen bekomme, aber ich wollte mal das Rechteproblemzur Diskussion stellen. Ich weiss es gibt jede Menge Howtos etc., aber so richtig beschrieben finde ich nichts.

1. Ich gehe mal davon aus dass php als mod-php läuft und der Server per ftp erreichbar sein soll, von verschieden Benutzern mit jeweils einen eigenen Homedirectory.

2. Nein, es soll kein suphp benutzt werden oder fcgi oder suexec --- das währe dann ein anderer Thread.

Wie geht ihr in so einem Fall vor?

Das Problem ist sicherlich, dass sowohl die ftpuser, als auch Apache2, mit www-data zumindestens lesen muss, in einigen Fällen aber auch schreiben. Die Rechtevergabe soll sehr restriktiv sein.

Das Homedirectory der Web Nutzer ist /var/www/web1. Darin gibt es Untervereichnisse (/phptmp/,/html/,cgi-bin)

Selbstverständlich gehört z. Bsp. web1 in die Gruppe der ftpuser

/var/www -> root:root (0755)
/var/www/web1 -> ? (web1:ftpuser) (0750)
/var/www/web1/domain.tld -> ? (web1:ftpuser) (0750)
/var/www/web1/domain.tld/html -> ? (web1:ftpuser) (0770)

/var/www/web1/domain.tld/html -> ? (web1:ftpuser) (0770)
Dabei gehts schon los. Jetzt muss ich www-data der Gruppe ftuser zufügen, daß überhaupt der Apache2 was schreiben kann, bei php Skripten. Oder macht das Sinn.

Bin für Vorschläge dankbar.

Dr FTP-Server ist auf umask 022 gesetzt. Also 755 für Verzeichnisse.

Gruß cirox

[cirox]

Hi,

ist die Frage zu dämlich gestellt, blickt keiner durch oder was ist eigentlich los :)

Gruß Holm

[flo]

Nein, aber wo genau ist die Frage? Du hast doch alles schon selber erkannt!?

Es gibt keine restriktive Möglichkeit der Rechtevergabe mit dem klassichen User-Group-Others-Rechteprinzip, wenn Du einerseits zwar ftp mit mehreren Usern erlauben möchtest, dann aber der Apache wiederum Schreibzugriff darauf braucht.

Selbst PHP-Einschränungen werden nicht verhindern, daß ein reiner DAteizugriff über den Apachen auf die anderen Verzeichnisse möglich wird.

flo.

[rootsvr]

SuExec ist besser: PHP läuft jeweils als eigener User (mit dessen UID Du auch per ftp die Daten hochlädst) www-data fügt man jeweils der Gruppe hinzu.
Damit gehören alle Dateien und Verzeichnisse unterhalb von /var/www/ nur noch dem entsprechenden Nutzer. Setzt man auch noch das OpenbaseDir richtig kommt man auch per php nicht in andererleuts Verzeichniss.

Alles andere ist glaube ich nicht wirklich gut.

[sledge0303]

SuExec ist besser: PHP läuft jeweils als eigener User (mit dessen UID Du auch per ftp die Daten hochlädst) www-data fügt man jeweils der Gruppe hinzu.
Damit gehören alle Dateien und Verzeichnisse unterhalb von /var/www/ nur noch dem entsprechenden Nutzer. Setzt man auch noch das OpenbaseDir richtig kommt man auch per php nicht in andererleuts Verzeichniss.

Alles andere ist glaube ich nicht wirklich gut.

Er will seinen ersten Ausführungen zufolge kein suexec oder ähnliches benutzen...

@Threadstarter

Ich kann mir nicht vorstellen, daß du das wirklich so willst :roll:

[rootsvr]

Das hab ich auch gelesen, glaube aber einfach nicht das er ohne wirklich glücklich/sicher/sonstwas wird.