Eigentümer/Gruppenrechte

Apache, Lighttpd, nginx, Cherokee
finalcutter
Posts: 6
Joined: 2007-12-05 11:04

Eigentümer/Gruppenrechte

Post by finalcutter » 2009-01-29 09:50

Hallo!

die Dateien/Ordner meiner lokalen Seite haben www/www als Eigentümer/Gruppe. Kopiere ich diese nun auf den Webserver, so erhalten die Ordner/Dateien automatisch den Eigentümer ftpuser/psacln. Das führ dazu das mein cms auf die Ordner keine Schreibrechte mehr hat.
Jetzt kann ich natürlich mich als als root am Server anmelden und den Inhalt mit chown -R wwwrun/www ändern, dann läuft auch alles und mein cms hat wieder schreibrechte. Der Nachteil ist nur, dass ich mich dann jedesmal mit rootrechten anmelden muss, wenn ich Dateien ersetzen will/muss.
Kann man das nicht irgendwie anders lösen (Gruppenzugehörigkeit?)

Danke schonmal!

Gruß Marco

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Eigentümer/Gruppenrechte

Post by daemotron » 2009-01-29 10:40

Code: Select all

gpasswd -a wwwrun psacln

finalcutter
Posts: 6
Joined: 2007-12-05 11:04

Re: Eigentümer/Gruppenrechte

Post by finalcutter » 2009-01-29 10:44

danke! könntest Du bitte in einem kleinen Satz erläutern, was damit gemacht wird?

wwwrun ist ja der Eigentümer und www die Gruppe...
Nehme ich damit den Eigentümer wwwrun in die Gruppe psacln auf?

Gruß
Last edited by finalcutter on 2009-01-29 10:50, edited 1 time in total.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Eigentümer/Gruppenrechte

Post by daemotron » 2009-01-29 10:48

aber gern: http://linux.die.net/man/1/gpasswd

Dadurch, dass wwwrun Mitglied der Gruppe psacln wird, hat der httpd genau die Rechte, die für Group nach dem Hochladen gesetzt sind (da der ftpd die Dateien ja mit Gruppe psacln abspeichert). Wenn Du also beim oder nach dem FTP-Transfer einfach für group Schreibrechte vergibst (bitte nur auf die Verzeichnisse, wo das wirklich nötig ist), kann der Webserver in diesen Verzeichnissen schreiben.

finalcutter
Posts: 6
Joined: 2007-12-05 11:04

Re: Eigentümer/Gruppenrechte

Post by finalcutter » 2009-01-29 11:02

Danke nochmal für die Erklärung... wenn ich das als root auf dem Server mache, bekomme ich folgende Meldung..

server:/etc # gpasswd -a wwwrun psacln
gpasswd: invalid option -- a

Try `gpasswd --help' or `gpasswd --usage' for more information.
server:/etc # gpasswd --help
Usage: gpasswd [-r] group
gpasswd - change group password
-r Remove the password for this group
--service srv Use nameservice 'srv'
-D binddn Use dn "binddn" to bind to the LDAP directory
-P path Search group file in "path"
--help Give this help list
--usage Give a short usage message
--version Print program version
Valid services for -r are: files, nis, nisplus, ldap
server:/etc #


hast Du vielleicht noch einen Tipp?

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Eigentümer/Gruppenrechte

Post by daemotron » 2009-01-29 11:10

Oh. Was hast Du denn für eine Distribution installiert? Scheint jedenfalls eine merkwürdige gpasswd-Version beizuliegen; normalerweise sollte das gehen. Oder hast Du kein Linux, sondern irgendwas anderes? Falls ja, das folgende bitte ignorieren! (andere Unix-Systeme nehmen es einem übel, wenn man passwd oder group einfach so editiert...)

Anyway, Du kannst das auch manuell erledigen. Öffne /etc/group mit einem Editor Deiner Wahl, suche die Zeile, in der die Gruppe psacln definiert ist und hänge hinten wwwrun als Gruppenmitglied dazu. Abspeichern, fertig.

finalcutter
Posts: 6
Joined: 2007-12-05 11:04

Re: Eigentümer/Gruppenrechte

Post by finalcutter » 2009-01-29 13:30

also, BS ist Suse Linux 10.1

der relevante Teil der /etc/group sieht so aus:

Code: Select all

wheel:x:10:
www:x:8:
xok:x:41:
users:x:100:
ntp:!:104:
mysql:!:105:
psaadm:!:2521:
psaftp:!:2522:
psaserv:!:2523:wwwrun,psaftp,psaadm
psacln:!:2524:wwwrun
mailman:!:67:


unter psacln habe ich wwwrun hinzugefügt. Muss ich jetzt noch irgendeinen Dienst neu starten?
Habe die Dateien/Ordner nochmal neu hochgespielt, haben als Eigentümer/Gruppe ftpuser/psacln (wie vorher). Mein cms hat aber immer noch keine Schreibrechte auf diese Ordner, nur auf die, die als Benutzer/Gruppe wwwrun/www haben...

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Eigentümer/Gruppenrechte

Post by daemotron » 2009-01-29 13:48

Im Grunde genommen alles richtig gemacht, aber hast Du bei den betroffenen Dateien und Ordnern auch Schreibrechte für die Gruppe vergeben? Das kannst Du entweder über den FTP-Client erledigen (oder je nach Client sogar als Voreinstellung setzen), oder nachträglich via SSH (chmod -R g+w <verzeichnis>).

finalcutter
Posts: 6
Joined: 2007-12-05 11:04

Re: Eigentümer/Gruppenrechte

Post by finalcutter » 2009-01-29 13:58

danke wirklich für Deine Hilfe, es klappt wenn ich dem Ordner chmod 775 erteile. Ist das evtl. ein Sicherheitsproblem?

Gruß

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Eigentümer/Gruppenrechte

Post by daemotron » 2009-01-29 15:37

finalcutter wrote:Ist das evtl. ein Sicherheitsproblem?

Potenziell ist es immer ein Sicherheitsproblem, wenn der Webserver in bestimmten Verzeichnissen schreiben darf. Es laufen ja (möglicherweise) noch weitere Web-Anwendungen auf Deinem Server, und bei der Konstellation wird jede unter dem User wwwrun ausgeführt. Dir muss eben klar sein, dass jetzt platt gesprochen jedes PHP-Skript, das auf Deinem Server ausgeführt wird, in den Verzeichnissen Deines CMS nach Herzenslust schreiben und herumlöschen könnte. Wenn Du also nicht vertrauenswürdige User mithostest, wäre FastCGI + suexec eine sicherere Alternative. Wenn Du nur für Dich weitere Applikationen hostest, musst Du eben darauf achten, dass diese immer auf aktuellem Stand sind, damit nicht durch ein Sicherheitsloch ein Angreifer die Applikation mißbrauchen und Dein CMS damit demolieren kann.