Hallo allerseits,
ich habe mal eine etwas allgemienere Einrichtungsfrage:
auf meinem Server hausen mehrere Benutzer, welche allesamt SSH-Zugriff haben also vollwertige UNIX-Benutzer sind.
Momentan hat jeder Nutzer eine eigene Gruppe in der Apache Mitglied ist. So kann Apache auf alle Dateien mit Gruppen Lese-/Schreibrechten zugreifen. Aber wenn z.B. per PHP eine Datei erzeugt wird, so gehört diese Apache und der Benutzer kann nicht meht auf diese zugreifen. Genau das selbe Problem habe ich bei DAV Ordnern.
Warum das geschieht ist mir klar, doch gibt es eventuell einen Weg das zu ändern? Wenigens so dass die Benutzer sich die Dateien wieder selbst zugänglich machen können ohne auf root angewiesen zu sein. (Per default Schreibrechte für others, oder irgend etwas in der Art).
Wäre schön wenn mir da jemand helfen könnte.
Dennis :)
Benutzerrechtechaos mit Apache
-
elch_mg
- Posts: 302
- Joined: 2006-01-23 19:14
- Location: 41063
Re: Benutzerrechtechaos mit Apache
Lässt sich mit (F)CGI und suEXEC/suPHP realisieren, die Forensuche bzw. Google helfen da weiter.
-
xardias
- Posts: 22
- Joined: 2006-04-23 15:52
Re: Benutzerrechtechaos mit Apache
Das wäre eine Lösung für PHP, stimmt. Danke.
Aber wir verwenden auf dem server auch recht häufig DAV, wo ich bisher keine ähnlichen Sachen gefunden habe (Oder andere Dienste wie u.A. Tomcat), daher suche ich nach einer möglichst allgemeinen Lösung.
Ich hatte soeben folgende Idee:
Apache kann darauf zugreifen wenn es Gruppenrechte dazu gibt.
-> OK
Dateien die Apache erzeugt hätten folgende Benutzergruppe:
Apache:Apache
Wenn man per default schreibrechte auf die Gruppe setzt, so haben BenutzerA und BenutzerB schreibrechte drauf. Der echte Inhaber kann direkt nach dem Hochladen die Benutzergruppe auf sich selbst ändern und hätte dann wieder alleinigen Zugriff darauf. (Wer das nicht macht ists genauso selbst schuld, wie jemand der chmod 777 macht ;))
-> OK
Meint ihr, dass das so funktionieren wird, oder sehr ihr da Probleme?
Ich denke man kann es hier nicht komplett umgehen irgendwo allen Benutzern gemeinsame Schreibrechte zu geben. Aber ich denke auch, dass ich das damit bestmöglich minimiert habe.
Aber wir verwenden auf dem server auch recht häufig DAV, wo ich bisher keine ähnlichen Sachen gefunden habe (Oder andere Dienste wie u.A. Tomcat), daher suche ich nach einer möglichst allgemeinen Lösung.
Ich hatte soeben folgende Idee:
Dateien die Benutzer selbst erzeugen hätten folgende Benutzergruppe: BenutzerA:BenutzerABenutzerA gehört die Gruppe BenutzerA
BenutzerB gehört die Gruppe BenutzerB
Apache gehört die Gruppe Apache
Apache ist Mitglied in BenutzerA
Apache ist Mitglied in BenutzerB
BenutzerA ist Mitglied in Apache
BenutzerB ist Mitglied in Apache
Apache kann darauf zugreifen wenn es Gruppenrechte dazu gibt.
-> OK
Dateien die Apache erzeugt hätten folgende Benutzergruppe:
Apache:Apache
Wenn man per default schreibrechte auf die Gruppe setzt, so haben BenutzerA und BenutzerB schreibrechte drauf. Der echte Inhaber kann direkt nach dem Hochladen die Benutzergruppe auf sich selbst ändern und hätte dann wieder alleinigen Zugriff darauf. (Wer das nicht macht ists genauso selbst schuld, wie jemand der chmod 777 macht ;))
-> OK
Meint ihr, dass das so funktionieren wird, oder sehr ihr da Probleme?
Ich denke man kann es hier nicht komplett umgehen irgendwo allen Benutzern gemeinsame Schreibrechte zu geben. Aber ich denke auch, dass ich das damit bestmöglich minimiert habe.
-
duergner
- Posts: 923
- Joined: 2003-08-20 11:30
- Location: Pittsburgh, PA, USA
Re: Benutzerrechtechaos mit Apache
Sehr unschoen und wenn du Dateien mittel WebDAV hochlaedst die danach ausgefuehrt werden sollen, spich z.B. die PHP Seiten deiner Benutzer geht das nicht, das User/Gruppe nicht stimmen. Die meiner Meinung nach derzeit einzige wirklich saubere Loesung ist es fuer jeden Benutzer einen eigenen Apache zu starten auf unterschiedlichen Ports auf localhost und einen davor steller der als ReverseProxy agiert.