|
CHMOD 777 bzw. 755
Liste der Anhänge anzeigen (Anzahl: 1)
Hi zusammen,
wenn ich auf einem Server Verzeichnisrechte auf 777 setzen, kann ich wie gewünscht darin schreiben. Nur sollte man aus Sicherheitsgründen die Rechte 777 nicht verwenden. Die "Alternative" wäre hier doch 755 oder? Denn dann bekomme ich immer Meldungen, dass das Verzeichnis nicht beschreibbar sei. Mit 775 geht es ebenfalls nicht (gleiche Meldung). Wie macht man es richtig, damit ich 777 endlich los werde? ;) Anhang 32108 Grüße, Matze |
AW: CHMOD 777 bzw. 755
Moin Matze,
ist das auf Deinem neuen Webserver ? Wenn ja, bei einem normalen WebHosting Angebot kenne ich keine andere Möglichkeit ausser die 777 um mit einer PHP-Anwendung in ein Verzeichnis zu schreiben. |
AW: CHMOD 777 bzw. 755
Oder die Gruppe auf die des Webservers ändern, dann sollte 750 bzw. 770 reichen
|
AW: CHMOD 777 bzw. 755
Wichtig ist dass du nicht Jedem den Schreibzugriff erlaubst. Um das Problem zu loesen darfst du dir nicht nur die Rechtemaske angucken sondern auch Besitzer und Gruppe der Datei.
Also...du laedst etwas per FTP auf deinen Webspace. Das machst du mit dem Benutzer foo231, der der Gruppe foo231 angehoert. Das geht alles problemlos, nachdem du der Besitzer der Datei bist passt alles:
Code:
Jetzt kommt der Apache welcher aus Sicherheitsgruenden mit dem Benutzer www-data ausgefuehrt wird, welcher wiederum zur Gruppe www-data gehoert. Wenn dieser schreiben will sieht Linux dass a) die Besitzer nicht uebereinstimmen, dass b) die Gruppen nicht uebereinstimmen also muss die Regel fuer "other" gelten, was das Problem ist.
drwxr-xr-x ftp231 ftp231 meine-website
Du kannst nun nach dem Hochladen einfach die Gruppe auf www-data setzen und anschliessend der Gruppe Schreibrecht geben. Das entspricht dann 775 (FTP-Befehle sehn bisserl anders aus):
Code:
Damit sehn die Berechtigungen so aus:
chgrp -R www-data *
chmod -R g+w *
Code:
Damit darf dein FTP-Benutzer als Besitzer schreiben und auch der Apache als Gruppe. Du solltest die Rechte-Aenderung (Gruppe ist ok) aber nicht pauschal zulassen sondern nur fuer die Ordner, fuer die es auch explizit benoetigt wird.
drwxrwxr-x ftp231 www-data meine-website
Beachte ausserdem dass dies fuer neue Dateien nicht standardmaessig greift, du wirst die Gruppe und die Berechtigungen manuell setzen muessen wenn du einen neuen Ordner oder eine neue Datei hochlaedst. @mkinzler: 750 ist sehr ungut. Lesezugriff sollte man belassen, ansonsten wird z.B. auch die Backup-Routine des Providers danebengehn weil sie die Datei nicht lesen kann. Das ist dann weniger praktisch. Greetz alcaeus |
AW: CHMOD 777 bzw. 755
Ich kenn auch den Fall, wo PHP als CGI im Apache läuft
und PHP, sowie FTP im selben Benutzer laufen ... da gibt es solche Rechte-Probleme erstmal nicht. :stupid: OK, diese Problemchen sind nur andersrum, da so standardmäßig PHP und FTP die selben Rechte/Benutzer besitzen und man dieses erst abändern muß, wenn man das nicht will. |
AW: CHMOD 777 bzw. 755
Zitat:
a) jedermann auf das gesamte Web-Directory schreiben sollte b) der Apache auf das gesamte Web-Directory schreiben sollte c) dies standardmaessig so sein sollte. Ganz ehrlich: ein Provider bei dem das so konfiguriert ist gehoert sowieso in die Tonne geklopft. Du machst dir mit ner winzigen Sicherheitsluecke ein riesiges Scheunentor auf weil ein Angreifer sofort ohne Probleme seine Shell injizieren kann. Super, ganz toll :thumb: Greetz alcaeus |
AW: CHMOD 777 bzw. 755
Ähm öh also, nunja, ich hab's noch nicht so ganz kapiert. :mrgreen: Aber vielen Dank für die ausführlichen Erläuterungen. Klingt schon irgendwie einleuchtend, nur an der Umsetzung hapert's.
Ich habe noch nie etwas mit Gruppen gemacht. Geht das bei jedem Hoster und wenn ja, wie? Per FTP-Client? Oder benötigt man da SSH-Zugriff o.ä.? |
AW: CHMOD 777 bzw. 755
Jede Datei hat einen Owner und eine Gruppe. Bei den Rechten setzt du die Rechte für den Owner, die Gruppe und World.
Die Rechte für die Gruppe gelten für alle Mitglieder der Gruppe der Datei. Normalerweise gibt es für den Apache einen eigenen User und eine eigene Gruppe. |
AW: CHMOD 777 bzw. 755
Ja schon, aber wo ändere ich die Gruppenzugehörigkeit eines Verzeichnisses?
|
AW: CHMOD 777 bzw. 755
chgrp <ordner>
|
AW: CHMOD 777 bzw. 755
Gnarf...da war doch was bei FTP. FTP unterstuetzt keinen chown/chgrp. Das muss dann ueber SFTP (also FTP over SSH) passieren, ueber FTP geht da nichts. Da bleibt dann wirklich nur "the evil seven" ;)
Greetz alcaeus |
AW: CHMOD 777 bzw. 755
Schau dir mal winscp an. Damit kann man die Rechte einfach setzen
|
AW: CHMOD 777 bzw. 755
Zitat:
Greetz alcaeus |
AW: CHMOD 777 bzw. 755
Würde ja auch nichts bringen, denn er hat ja sowieso nicht das Recht die Datei einfach einer anderen Gruppe oder gar einem anderem User zuzuordnen, solange er nicht selbst Mitglied dieser Gruppe ist. Und ich glaube nicht dass er in wwwdata ist. :gruebel:
Liebe Grüße, Valle |
AW: CHMOD 777 bzw. 755
Könnte theoretisch jemand von außen Daten in das Verzeichnis ablegen oder was daraus löschen, wenn ich keine Lücken in den Skripten habe?
Ne oder? |
AW: CHMOD 777 bzw. 755
Von aussen nicht, aber jemand mit Zugriffsberechtigung auf den Server
|
AW: CHMOD 777 bzw. 755
Haja ok und das ist der Hoster. Der hat so oder so Zugriff, egal was ich einstelle. :gruebel:
|
AW: CHMOD 777 bzw. 755
Nur sofern dieser aber auch Zugriff auf alle übergeordneten Ordner hat. Mein eigener Shared-Hosting Server zum Beispiel hat jedem User einen Ordner zugeordnet, welcher root gehört und der Gruppe des Users selbst. Dadurch dass der Ordner root gehört, kann der User die Zugriffsrechte des Ordners nicht ändern. Und letztere besagen, dass in diesen Ordner nur User dieser einen Gruppe reindürfen. Insofern ist es egal, welche Rechte sich in den Ordnern darunter befinden. Und ich gehe davon aus, dass andere Shared-Hosting Provider das selbst so tun.
Kurz: 777 ist zwar unschön, sollte aber nicht problematisch sein. Im Zweifel einfach Support fragen. Liebe Grüße, Valle |
AW: CHMOD 777 bzw. 755
Benutzer und Gruppe kann ich übrigens ändern. Da kann ich zwischen meinem Account und "Apache" wählen.
|
AW: CHMOD 777 bzw. 755
Wenn du die Gruppe auf Apache setzt dann langt die Rechtemaske 775 (bzw. 664 fuer Dateien, gibt keinen Grund die PHP-Dateien als Executable zu markieren).
Greetz alcaeus |
AW: CHMOD 777 bzw. 755
Und alci hat schon so schön die Kürzel eingeführt, also hier nochmal die Erklärung und dazu warum die besser sind als Oktalwerte:
Für chmod(1): u == User g == Group o == Other ('world') (gibt glaub ich auch a, weiß aber nicht ob überall) Berechtigungen (nur Standard) r == read w == write x == execute X == change to folder (nicht auf Dateien anwendbar) (gibt noch t und s, und ggf. spezifische wie i - wie igitt) Zuweisungen: = + - Und jetzt die Crux: chmod -R u=rwX,g-x,g+X,o=rX ./* ... und nu mach das mal mit Oktalwerten :mrgreen: ... es geht nicht, es sei denn man benutzt lustige Konstrukte mit find(1). Übrigens: chown user: ./* ... setzt den Besitzer und dessen Standardgruppe für die angegebenen Dateien. Man kann sich also sparen: chown user:stdgrp ./* ... zu schreiben (also unter der Annahme, daß der Benutzer "user" und dessen Hauptgruppe "stdgrp" ist ;)). |
AW: CHMOD 777 bzw. 755
Moin,
danke, ich war zu faul das Zeug zu erklaeren. BTW: du kannst auch einfach "chown user ./*" schreiben. Die "chown user:group"-Schreibweise ist ja nur die Kurzform dass du danach nicht nen passenden chgrp-Aufruf machen musst ;) Greetz alcaeus |
AW: CHMOD 777 bzw. 755
Zitat:
Zitat:
Das ist zumindest das standardisierte Verhalten. Könntest du sagen welches System (inkl. Versionen) du benutzt, wenn der einfach so auch die Gruppe ersetzt bei chown? Nachtrag: ist zumindest  nicht in SUS erwähnt, also wird das von mir beschriebene Verhalten wohl auf die GNU-Variante von chown begrenzt sein ... |
AW: CHMOD 777 bzw. 755
Sorry. Ich sollte besser lesen, du hast (natuerlich) Recht :)
Greetz alcaeus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:29 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz