Hi André,

FTP ist ja auch so eine Sache, wenn ich jetzt z.B. eine eigene httpd.conf auf den Server hochladen will, dann mache ich das mit FTP, nur kann ich mir nicht vortellen das es so "gesund" sein kann dem FTP-User Schreib-Rechte auf allen Ebenen einzuräumen, von / angefangen. Also am besten nur auf mein home-Verzeichnis und auf das Apache htdocs Verzeichnis.
Ein normaler User sollte auch kein Zugriff auf Verzeichnisse haben, in der System- und Configdateien liegen.
Auf User hat nur Zugriff auf sein Homeverzeichnis. Auf die httpd.conf hat nur root Zugriff.

für mich ist die httpd.conf keine Systemdatei, sondern eine ganz normale Datei für ein ganz normales Anwendungsprogramm.
Ich würde für die Apache-Konfiguration eine eigene Benutzerkennung "apache" einrichten, welche zumindest die Apache-Konfiguration enthält und jederzeit ändern darf. Diese Benutzerkennung darf sogar neue Apache-Versionen installieren (_neben_ die vorherige, nicht drüber) und diese auch ausprobieren (wenngleich nur mit "hohen" Portnummern).

Ich möchte eben gerade _nicht_, daß jemand, der gerade mal eine Zeile in der Apache-Konfiguration ändern will, dafür "root" sein muß und beliebigen Unfug anstellen kann.
Ich dezentralisiere inhaltlich verschiedene Funktionen gerne in separate Benutzerkennungen - wer weiß, wie die sich später mal auf verschiedene Personen verteilen werden, und wie viele Leute dann das "root"-Passwort kennen müßten? Nein, danke.

Daß der Apache selbst unter "root" gestartet werden muß, um sich an einen "niedrigen" Port zu binden, läßt sich über das httpd-Binary lösen (chown root und s-Bit - das ist dann die "Übernahme" einer getesteten Apache-Version in die "Produktion", die muß "root" pro Version einmal machen). Der Benutzer "apache" darf dann sehr wohl auch den produktiven Apache starten und stoppen, ohne dafür weitere Systemprivilegien zu besitzen.

Viele Grüße
      Michael