Hello,

Und als User, unter dem die Child-Prozesse laufen, ist z.B. "wwwrun" eingetragen und als Default-Group "wwwrun". Außerdem ist der User wwwrun noch Mitglied in diversen Supplemental Groups.

Zum Beispiel "websites"?

Wenn ich jetzt für das /home - Verzeichnis

user  websites (others)
    rwx   ---      --x

eingestellt habe, dann gehe ich eigentlich davon aus, dass User "wwwrun" das Verzeichnis in den Pfad aufnehmen darf. Oder wodurch ist das ggf. noch beschränkt?

Wenn der Apache (oder irgendein Teil, welches unter anderer UID/GID läuft, aber für den Zugriff notwendig ist) Mitglied der Gruppe "websites" ist, dann darf er das Verzeichnis nicht betreten.

Haben ggf. nur die User mit gültiger Shell auch die Rechte von others?

Nein. "Others" sind alle, die "nicht der User" sind, und "nicht Mitglied der Gruppe" sind.

Ja danke: das hatten wir doch schon einmal. Ich erinnere mich dunkel

Daraus folgt: Wenn der Apache mit obigen Rechten keinen Zugriff kriegt, ist er Mitglied der Gruppe.

So funktioniert es jedenfalls:

user  websites (others)
    rwx   --x      --x

Es scheint mir heftig unsinnig, für die Gruppenrechte weniger Erlaubnis zu erteilen, als für die "others". Normal sollte sein, dass in der Reihenfolge User-Gruppe-Andere immer weniger Rechte, höchstens identische, vergeben sind.

Das war ja auch ein Konfigurationsfehler, der durch irgend eine benebelte Handlung entstanden ist. Zum Glück habe ich ja noch wiedergefunden, was ich irgendwann  mitten in der Nacht geändert hatte...

Um das nochmal auf den Punkt zu bringen: Man kann also einen User aussperren, weil er Mitglied einer bestimmten Gruppe ist. Indem man das File einfach genau dieser Gruppe zuweist und der die Rechte entzieht, kann der User nicht mehr zugreifen, es sei denn er wäre jetzt auch Owner.

Harzliche Grüße vom Berg
esst mehr http://www.harte-harzer.de

Tom