Moin!

Nö. Automatisch ist er überhaupt kein Mitglied. Er startet aber grundsätzlich erstmal einen Prozeß als "root" und kann dann Child-Prozesse an andere User abgeben.

Das ist nicht 100% korrekt. Der Apache startet als root, nimmt dann aber komplett die UID an, die in der Konfig-Datei angegeben ist, und "kann" dann nicht Child-Prozesse an andere User abgeben, sondern "muss" Child-Prozesse als der geänderte Apache-User ausführen. Nur mit äußeren Mitteln wie suexec kriegt man den ausführenden User eines Prozesses dann geändert.

Und als User, unter dem die Child-Prozesse laufen, ist z.B. "wwwrun" eingetragen und als Default-Group "wwwrun". Außerdem ist der User wwwrun noch Mitglied in diversen Supplemental Groups.

Zum Beispiel "websites"?

Wenn ich jetzt für das /home - Verzeichnis

user  websites (others)
    rwx   ---      --x

eingestellt habe, dann gehe ich eigentlich davon aus, dass User "wwwrun" das Verzeichnis in den Pfad aufnehmen darf. Oder wodurch ist das ggf. noch beschränkt?

Wenn der Apache (oder irgendein Teil, welches unter anderer UID/GID läuft, aber für den Zugriff notwendig ist) Mitglied der Gruppe "websites" ist, dann darf er das Verzeichnis nicht betreten.

Haben ggf. nur die User mit gültiger Shell auch die Rechte von others?

Nein. "Others" sind alle, die "nicht der User" sind, und "nicht Mitglied der Gruppe" sind.

Daraus folgt: Wenn der Apache mit obigen Rechten keinen Zugriff kriegt, ist er Mitglied der Gruppe.

So funktioniert es jedenfalls:

user  websites (others)
    rwx   --x      --x

Es scheint mir heftig unsinnig, für die Gruppenrechte weniger Erlaubnis zu erteilen, als für die "others". Normal sollte sein, dass in der Reihenfolge User-Gruppe-Andere immer weniger Rechte, höchstens identische, vergeben sind.

- Sven Rautenberg