Benutzerrechtechaos mit Apache

Apache, Lighttpd, nginx, Cherokee
xardias
Posts: 22
Joined: 2006-04-23 15:52

Benutzerrechtechaos mit Apache

Post by xardias »

Hallo allerseits,

ich habe mal eine etwas allgemienere Einrichtungsfrage:
auf meinem Server hausen mehrere Benutzer, welche allesamt SSH-Zugriff haben also vollwertige UNIX-Benutzer sind.

Momentan hat jeder Nutzer eine eigene Gruppe in der Apache Mitglied ist. So kann Apache auf alle Dateien mit Gruppen Lese-/Schreibrechten zugreifen. Aber wenn z.B. per PHP eine Datei erzeugt wird, so gehört diese Apache und der Benutzer kann nicht meht auf diese zugreifen. Genau das selbe Problem habe ich bei DAV Ordnern.

Warum das geschieht ist mir klar, doch gibt es eventuell einen Weg das zu ändern? Wenigens so dass die Benutzer sich die Dateien wieder selbst zugänglich machen können ohne auf root angewiesen zu sein. (Per default Schreibrechte für others, oder irgend etwas in der Art).

Wäre schön wenn mir da jemand helfen könnte.
Dennis :)
elch_mg
Posts: 302
Joined: 2006-01-23 19:14
Location: 41063

Re: Benutzerrechtechaos mit Apache

Post by elch_mg »

Lässt sich mit (F)CGI und suEXEC/suPHP realisieren, die Forensuche bzw. Google helfen da weiter.
xardias
Posts: 22
Joined: 2006-04-23 15:52

Re: Benutzerrechtechaos mit Apache

Post by xardias »

Das wäre eine Lösung für PHP, stimmt. Danke.
Aber wir verwenden auf dem server auch recht häufig DAV, wo ich bisher keine ähnlichen Sachen gefunden habe (Oder andere Dienste wie u.A. Tomcat), daher suche ich nach einer möglichst allgemeinen Lösung.

Ich hatte soeben folgende Idee:
BenutzerA gehört die Gruppe BenutzerA
BenutzerB gehört die Gruppe BenutzerB
Apache gehört die Gruppe Apache

Apache ist Mitglied in BenutzerA
Apache ist Mitglied in BenutzerB

BenutzerA ist Mitglied in Apache
BenutzerB ist Mitglied in Apache
Dateien die Benutzer selbst erzeugen hätten folgende Benutzergruppe: BenutzerA:BenutzerA
Apache kann darauf zugreifen wenn es Gruppenrechte dazu gibt.
-> OK

Dateien die Apache erzeugt hätten folgende Benutzergruppe:
Apache:Apache
Wenn man per default schreibrechte auf die Gruppe setzt, so haben BenutzerA und BenutzerB schreibrechte drauf. Der echte Inhaber kann direkt nach dem Hochladen die Benutzergruppe auf sich selbst ändern und hätte dann wieder alleinigen Zugriff darauf. (Wer das nicht macht ists genauso selbst schuld, wie jemand der chmod 777 macht ;))
-> OK

Meint ihr, dass das so funktionieren wird, oder sehr ihr da Probleme?
Ich denke man kann es hier nicht komplett umgehen irgendwo allen Benutzern gemeinsame Schreibrechte zu geben. Aber ich denke auch, dass ich das damit bestmöglich minimiert habe.
duergner
Posts: 923
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: Benutzerrechtechaos mit Apache

Post by duergner »

Sehr unschoen und wenn du Dateien mittel WebDAV hochlaedst die danach ausgefuehrt werden sollen, spich z.B. die PHP Seiten deiner Benutzer geht das nicht, das User/Gruppe nicht stimmen. Die meiner Meinung nach derzeit einzige wirklich saubere Loesung ist es fuer jeden Benutzer einen eigenen Apache zu starten auf unterschiedlichen Ports auf localhost und einen davor steller der als ReverseProxy agiert.