Hallo Root Forum,
ich wende mich an euch, da ich Anfänger bin was dieses ganze Thema hier betrifft und mit Linux noch nicht viel gearbeitet habe.
Folgendes Problem:
Ich betreibe einen Server und lasse auf diesem Webseiten laufen. Ich nutze dafür das von OpenSUSE vordefinierte /SRV/WWW/ verzeichnis. Dort sind alle Inhalte dem Nutzer 'root' zugewiesen.
Wenn ich nun Inhalte in dieses Verzeichnis kopiere werden diese nicht dem jeweiligen Nutzer zugeordnet. Somit ergebe sich Schreib und Leserechte Probleme.
Nach kurzen recherechen habe ich nun den Inhalt dem Benutzer wwwrun übertragen und konnte somit die Schreib und Leserechte Probleme beheben, allerdings war das nicht die richtige Lösung. Mit dem vergeben der Rechte per chown an wwwrun kann root nun nicht mehr auf den inhalt zugreifen und keine backups mehr erstellen. Somit muss ich wohl oder übel die rechte wieder auf root setzen oder die jeweiligen ordner mit chmod 777 anlegen. Da ich aber genau diese fikelei umgehen möchte und standard chmod setzen möchte frage ich mich wie ich das umsetzen soll!
Wenn /SRV/WWW/ dem root gehört wie kann ich erwirken, dass die inhalte dem nutzer dennoch übergeben werden? kann ich einen zweiten benutzer hinzufügen? oder sollte ich für /SRV/WWW/ eine gruppe erstellen und root und wwwrun in diese gruppe eingliedern?
Ist wwwrun denn überhaupt der richtige Nutzer? oder ergeben sich eventuelle sicherheitsrisiken mit wwwrun?
bin für eure antworten dankbar.
Benutzerrechte
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Benutzerrechte
Der Benutzer root hat Zugriff auf alle Dateien. Außer du hast eine Erweiterung wie SELinux, grsecurity oder RSBAC laufen. Davon gehe ich allerdings nicht aus.dekay wrote:Mit dem vergeben der Rechte per chown an wwwrun kann root nun nicht mehr auf den inhalt zugreifen und keine backups mehr erstellen.
Generell solltest du die Suchfunktion mit den Begriffen "SuExec" und "SuPHP" füttern.
-
Anonymous
Re: Benutzerrechte
Hallo,
danke für die schnelle Antwort.
Nach dem setzen der rechte von /SRV/WWW/ per chown auf wwwrun kann ich aber keine backups mehr anlegen. Somit gehe ich davon aus, das dem Benutzer root zumindest unter Plesk die rechte entzogen sind!
Wenn ich in der shell "klein L" also 'l' ausführe, werden die jeweiligen nutzer ja aufgeführt. In dem Ausgangssetup war /SRV/WWW/VHOSTS/DOMAIN/ dem nutzer root zugewiesen.
Ich habe nun nicht den gesamten /SRV/ und auch nicht den gesamten /SRV/WWW/ dem nutzer wwwrun zugeordnet, sondern nur die jeweiligen domains unter /SRV/WWW/VHOSTS/DOMAIN/. somit sind alle ordenr bis zur domain dem nutzer root und ab dem domainordner gehören die rechte wwwrun. Damit habe ich wie gesagt das lese und schreibrecht problem behoben und kann meine inhalte mit den normalen chmod ausführen. Sollte ich denn gegebenenfalls nur /SRV/WWW/VHOSTS/DOMAIN/HTTPDOCS/ dem nutzer wwwrun zuornden? dies habe ich zuvor zwar probiert, allerdings ergeben sich dann irgendwelche loops die ich nicht einordnen kann. nur wenn ich den gesamten /DOMAIN/ ordner wwwrun zuordne läuft alles bis aufs backup.
Das problem löst sich für mich am einfachsten, wenn ich den /SRV/WWW/VHOSTS/DOMAIN zwei usern zuordnen kann. dem nutzer root und wwwrun. Damit sollten die backups laufen und auch die standardrechte genügen um den websiten betrieb laufen zu lassen.
Gibt es da keine einfache lösung wie diese hier? Wenn der inhalt eh dem nutzer root gehört, kann ich ihn ja auch als zweiten user hinzufügen.
Es sei denn ich bekomme raus, dass ich mit dem nutzer wwwrun einen großen fehler mache und enorme sicherheitsrisiken eingehe und somit dem wwwrun besser die rechte wieder entziehen werde. Konnte aber noch nichts darüber nachlesen.
danke für die schnelle Antwort.
Nach dem setzen der rechte von /SRV/WWW/ per chown auf wwwrun kann ich aber keine backups mehr anlegen. Somit gehe ich davon aus, das dem Benutzer root zumindest unter Plesk die rechte entzogen sind!
Wenn ich in der shell "klein L" also 'l' ausführe, werden die jeweiligen nutzer ja aufgeführt. In dem Ausgangssetup war /SRV/WWW/VHOSTS/DOMAIN/ dem nutzer root zugewiesen.
Ich habe nun nicht den gesamten /SRV/ und auch nicht den gesamten /SRV/WWW/ dem nutzer wwwrun zugeordnet, sondern nur die jeweiligen domains unter /SRV/WWW/VHOSTS/DOMAIN/. somit sind alle ordenr bis zur domain dem nutzer root und ab dem domainordner gehören die rechte wwwrun. Damit habe ich wie gesagt das lese und schreibrecht problem behoben und kann meine inhalte mit den normalen chmod ausführen. Sollte ich denn gegebenenfalls nur /SRV/WWW/VHOSTS/DOMAIN/HTTPDOCS/ dem nutzer wwwrun zuornden? dies habe ich zuvor zwar probiert, allerdings ergeben sich dann irgendwelche loops die ich nicht einordnen kann. nur wenn ich den gesamten /DOMAIN/ ordner wwwrun zuordne läuft alles bis aufs backup.
Das problem löst sich für mich am einfachsten, wenn ich den /SRV/WWW/VHOSTS/DOMAIN zwei usern zuordnen kann. dem nutzer root und wwwrun. Damit sollten die backups laufen und auch die standardrechte genügen um den websiten betrieb laufen zu lassen.
Gibt es da keine einfache lösung wie diese hier? Wenn der inhalt eh dem nutzer root gehört, kann ich ihn ja auch als zweiten user hinzufügen.
Es sei denn ich bekomme raus, dass ich mit dem nutzer wwwrun einen großen fehler mache und enorme sicherheitsrisiken eingehe und somit dem wwwrun besser die rechte wieder entziehen werde. Konnte aber noch nichts darüber nachlesen.
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Benutzerrechte
Definitiv nicht. Warum gehst du denn davon aus, dass die Backups tatsächlich im Benutzerkontext von root ausgeführt werden?dekay wrote:Somit gehe ich davon aus, das dem Benutzer root zumindest unter Plesk die rechte entzogen sind!
-
Anonymous
Re: Benutzerrechte
hmm, danke erstmal.
hab das hoffentlich soweit gelöst. ich vermute es lag an chgrp. dieser wird mit psacln gesetzt. und ich denke das psa irgendwas mit plesk zu tun hat.
vorher war das glaub ich anders. ich hoffe das das irgendwie das backup problem löst
hab das hoffentlich soweit gelöst. ich vermute es lag an chgrp. dieser wird mit psacln gesetzt. und ich denke das psa irgendwas mit plesk zu tun hat.
vorher war das glaub ich anders. ich hoffe das das irgendwie das backup problem löst