frankx: erg. Frage: Vererb. v. Rechten, Rechte f. httpdocs u. Sicherh.

Beitrag lesen

Hellihello Christian,

Ich hatte gerade ein längeres Posting verfasst, das Verzeichnisrechte unter UNIX näher erklärt. Und dann ist mir der Browser abgekackt, als ich so gut wie fertig war. Da ich morgen früh aufstehen muss, antworte ich mal kurz und knapp: Im Prinzip und für Deine Zwecke hast Du es richtig verstanden, es gibt noch ein paar Feinheiten, die ich Dir gerne erklären würde, an welchem Recht das nun GENAU hängt, das reiche ich morgen nach.

Damned. Christoph hatte doch letzlich eins verloren, aber seitdem gibts ja die Auszeichnung der Vorschau.

Die /var/www/vhosts/example.coms haben 755er Rechte, aber die httpdocs darin dann 750.

zB:

drwxr-x---   5 wvs-berlin psaserv 4096 Mar  9  2007 httpdocs

oder manche auch 770 (komisch, dass sich das unterscheidet).

drwxrwx---  64 html-ag psaserv 4096 Jan 24 22:39 httpdocs

Die Subdomains aber haben 755.

drwxr-xr-x  13 root       psaserv 4096 Dec  7 14:07 subdomains

Gibt es einen Grund, das Verzeichnis httpdocs nicht auf 755 zu chmod-en? Sicherheitstechnisch zB.?

Weiß nicht. Wenn /var/www/vhosts/example.com 755 ist und /var/www/vhosts/example.com/httpdocs auch 755 ist (und ich gehe auch mal für das gleiche bei /var, /var/www und /var/www/vhosts aus), dann kann halt wirklich JEDER den Inhalt von /var/www/vhosts/example.com/httpdocs lesen, sonst nur der User wvs-berlin oder die Gruppe psaserv. Hängt wohl stark davon ab, was in dem Verzeichnis httpdocs drin ist und vor wem Du was abschotten willst, ob das sicherheitsrelevant ist, oder nicht. Etwas mehr Hintergrundinfos wären nicht schlecht.

Nun ja, zur Zeit kann da im Grunde sowieso jeder rein in das Verzeichnis, der der Lesens mächtig ist, und auf der Seite der AG das Howto zum Serverzugang findet. Deshalb wollte ich ja jetzt es so einrichten, dass das httpdocs im Grunde frei zugänglich bleibt (entweder allen, die die Seite lesen, oder, wenn das mal missbraucht wird, jedem in der Schule, der möchte). Aber bestimmte Bereiche würde ich gerne nur den Admins zugänglich machen. Das wäre die index.php und nach Belieben weitere Verzeichnisse/Dateien.

Meine erste Idee war, also die bisherige Struktur zu erhalten und darin Ausnahmen zu schaffen. Andere Ansatz wäre, die index.php "einzfrieren", sie den Besitzer in root zu änderen, und geschützte Bereiche via Plesk in eine Subdomain auszulagern, und diese dann auch via Plesk mit einem anderen FTP-User zu versehen. ACL hätte ich geschmeidiger gefunden. Und beim Sinnieren über andere Möglichkeiten war ich jetzt darauf gestoßen, dass mir die Feinheiten des Rechtesystems scheinbar noch nicht ganz klar sind. Zumindest kan nich aber "httpdocs" mit "html-ag" als owner und "psaserv" als group nicht als Heimatverzeichnis für einen eigenen per YAST oder adduser erstellten "admin-html-ag"-User definieren, weil der als "Rest-der-Welt" da garnicht reinkommt.

Dank und Gruß,

frankx

--
tryin to multitain  - Globus = Planet != Welt