besitzer, gruppe, rest und http
hansi
- webserver
0 *Markus0 Jens Holzkämper0 hansi0 Jens Holzkämper0 hansi
hallo forum,
wenn ich auf einem virtuellen server mit suse 9.3 mit chown die rechte eines httpdocs-ordners auf root:root stelle, mit der rechtevergabe drwxr-x---, dann spuckt der apache2 die seiten darin nicht mehr aus. "forbidden". wenn ich aber mit chown auf root:psaserv einstelle, dann gehts wieder. wer aber ist die gruppe psaserv (kommt vermutlich vom plesk?). und warum kann ich aber nicht per ftpuser hansi auf den inhalt des ordners zugreifen? vorher hatte ich hansi:psaserv als benutzer/gruppen - konstellation mit obiger rechtevergabe. ich hätte jetzt gedacht, dass hansi gruppenmitglied bei psaserv ist und somit zumindest per ftp den verzeichnisinhalt lesen könnte.
dank und gruß,
hansi
Hallo,
wenn ich auf einem virtuellen server mit suse 9.3 mit chown die rechte eines httpdocs-ordners auf root:root stelle, mit der rechtevergabe drwxr-x---, dann spuckt der apache2 die seiten darin nicht mehr aus. "forbidden".
Was willst du denn mit einer derartigen Rechtvergabe bezwecken? Die Besucher deiner Seite zählen weder als "Owner", noch als "Gruppe", sind schon gar nicht "root", sind aber "Other".
Demnach musst du "other" das Lese- und Ausführrecht geben, wobei ich mir jetzt nicht sicher bin, ob beides gesetzt sein muss, um die Webseite abrufen zu können.
Markus
Tach,
Was willst du denn mit einer derartigen Rechtvergabe bezwecken? Die Besucher deiner Seite zählen weder als "Owner", noch als "Gruppe", sind schon gar nicht "root", sind aber "Other".
die Besucher der Seite greifen nicht über das Dateisystem auf die Daten zu, der einzige interessante User ist hier der mit dessen Rechten der jeweilige Webserver läuft.
Demnach musst du "other" das Lese- und Ausführrecht geben, wobei ich mir jetzt nicht sicher bin, ob beides gesetzt sein muss, um die Webseite abrufen zu können.
Lesen reicht im Allgemeinen, ausführen ist nur für Verzeichnisse notwendig.
mfg
Woodfighter
Tach,
wer aber ist die gruppe psaserv?
schau in /etc/group nach.
und warum kann ich aber nicht per ftpuser hansi auf den inhalt des ordners zugreifen?
weil er nicht in dieser Gruppe ist, zu überprüfen mit "groups hansi"
vorher hatte ich hansi:psaserv als benutzer/gruppen - konstellation mit obiger rechtevergabe.
Dann durfte Hansi ran, weil er der Besitzer war und der Apache weil sein Benutzer Mitglied von psaserv ist.
mfg
Woodfighter
Tach Woodfighter,
schau in /etc/group nach.
Da steht: psaserv:!:2522:psaadm,psaftp,wwwrun
und warum kann ich aber nicht per ftpuser hansi auf den inhalt des ordners zugreifen?
weil er nicht in dieser Gruppe ist, zu überprüfen mit "groups hansi"
hansi gehört zu psacln dialout und video, wusst ich garnicht (;-). ist ein ftp-user eigentlich.
Dann durfte Hansi ran, weil er der Besitzer war und der Apache weil sein Benutzer Mitglied von psaserv ist.
und wer ist der Apache? wwwrun oder was bzw. wie krieg ich das raus. und kannst du mir noch einen tip geben, wo das "psa" herkommt bzw. psaserv und psacln?
dank für die antwort schonmal. grund war, dass ich schauen wollte, wie für den ftp-user (ohne shell-login) hansi es möglich wäre, ihn nur noch die verzeichnisse lesen zu lassen, aber das löschen und raufspielen nicht zu ermöglichen, weil das der andere poster fragte.
gruß,
hansi
Tach,
weil er nicht in dieser Gruppe ist, zu überprüfen mit "groups hansi"
hansi gehört zu psacln dialout und video, wusst ich garnicht (;-). ist ein ftp-user eigentlich.
dann solltest du ihn aus den unnötigen Gruppen entfernen, ein User, der ein unverschlüsseltes Paßwort sendet, sollte möglichst wenige Rechte besitzen.
und wer ist der Apache? wwwrun oder was bzw. wie krieg ich das raus.
wwwrun wäre recht logisch, nachschauen kannst du mit "ps aux|grep apache".
und kannst du mir noch einen tip geben, wo das "psa" herkommt bzw. psaserv und psacln?
du hattest doch irgendwas von Plesk geschrieben, ich glaube PSA war Plesk Server Administrator.
dank für die antwort schonmal. grund war, dass ich schauen wollte, wie für den ftp-user (ohne shell-login) hansi es möglich wäre, ihn nur noch die verzeichnisse lesen zu lassen, aber das löschen und raufspielen nicht zu ermöglichen, weil das der andere poster fragte.
r ist lesen, w ist schreiben, x ist ausführen (bei Verzeichnissen durchsuchen).
mfg
Woodfighter
Tach auch Woodfighter,
merci vielmals.
dann solltest du ihn aus den unnötigen Gruppen entfernen, ein User, der ein unverschlüsseltes Paßwort sendet, sollte möglichst wenige Rechte besitzen.
einfach die group editieren? oder macht "man" sowas nicht.
und wer ist der Apache? wwwrun oder was bzw. wie krieg ich das raus.
wwwrun wäre recht logisch, nachschauen kannst du mit "ps aux|grep apache".
ja, bringt eine liste mit 2 mal root und 5 mal wwwrun. am ende immer /user/sbin/httpd-prefork -f /etc/apache2/httpd.conf. ps listet die prozesse auf. grep grabscht irgendwas mit apache und die pipe leitet es dann weiter? was ist aux?
und kannst du mir noch einen tip geben, wo das "psa" herkommt bzw. psaserv und psacln?
du hattest doch irgendwas von Plesk geschrieben, ich glaube PSA war Plesk Server Administrator.
ah, und serv für server und cln für client.
Dank und Gruß,
hansi
Tach,
dann solltest du ihn aus den unnötigen Gruppen entfernen, ein User, der ein unverschlüsseltes Paßwort sendet, sollte möglichst wenige Rechte besitzen.
einfach die group editieren? oder macht "man" sowas nicht.
ja man macht sowas nicht ;-), usermod ist dein Freund, -G der passende Parameter, den Rest verrät dir man.
ps listet die prozesse auf. grep grabscht irgendwas mit apache und die pipe leitet es dann weiter?
erst wird die Ausgabe weitergeleitet, dann kommt grep zum Zuge
was ist aux?
Parameter für ps, die angeben welche Prozesse angezeigt werden (a = alle Prozesse mit Terminal, x = alle Prozesse ohne Terminal) bzw. das Ausgabeformat ändern (u = Userdefiniertes Format).
mfg
Woodfighter
Hallo Woodfighter,
merci, komisch, auch wenn die infos schon alle dazusein scheinen, fällt der groschen erst irgendwannmal. ich dachte bisher immer, eine pipe sei von hinten nach vorne aufgebaut. statt "man" nahm ich immer --help.
Nu besten dank für die durchlüftung des dickichts,
Hansi
ps. so richtig gehts halt ohne einigermaßen fundierte linuxkenntnisse nicht, ist ja auch eigentlich ganz logisch.
Tach,
statt "man" nahm ich immer --help.
das ist schlecht man ist im Posix-Standard vorgeschrieben (auch wenn es häufig heutzutage nur noch einen Verweis auf info gibt), --help muß nicht als Parameter existieren und ist eigentlich immer bedeutend unausführlicher.
mfg
Woodfighter