Tach!

Post!

Das Problem lässt sich sicherheitstechnisch einigermaßen ordentlich nur dann lösen, wenn PHP als (F)CGI unter eigener Kennung läuft, die dann auch gleichzeitig die FTP-Kennung (oder besser SFTP/SSH) ist.

Ich vermute, das hat der Hoster, jedenfalls derjenige, der den Host konfigurierte, warum auch immer vermeiden wollen, damit ggf. hochgeladene Dateien ohne weitere Handlung via http abrufbar sind.

Für FrankH:

Mit FTP kann man, (so vom Server unterstützt ... was bei den unter Linux laufenden FTP-Servern in der Regel auch der Fall sein dürfte) neben den Rechten (chmod) auch die Eigentümer/Gruppenzugehörigkeit setzen.

Wenn die Dateien per http hochgeladen werden sollen, so muss natürlich der www-run (uid 33) schreiben dürfen, wenn die Dateien per FTP hochgeladen sollen, der FTP-User (uid 1128).

Das könnte für Dich ein Dilemma darstellen. Entweder kannst Du in einer shell (also via ssh) erweitere Rechte für das Verzeichnis mit setfacl setzen (PDF) oder Du musst das Verzeichnis für jeden betret-, les- und schreibbar (0777) machen, enthaltene Dateien lesbar (0666). (Hüte Dich davor, von den Kunden stammende Dateien mit chmod 777 ausführbar zu machen.)

Achte aber hierbei auf Nebenwirkungen, letzteres kann zu erheblichen (Sicherheits-)Interessenkollisionen führen! (Soweit zum Dilemma.)

Ich habe hier mal aus der Information "UID 1128" heraus spekuliert, dass es um Massenhosting geht und gehe im weiteren davon aus:

In diesem Zusammenhang ist es bei derartigen Problemen (wir müssen einiges erraten, also spekulieren) immer eine gute Idee nach dem Studium der von diesem sicherlich angebotenen FAQ auch den Support des Hosters einzubeziehen. Manche Hoster sind froh, wenn diese gefragt werden bevor deren Server als Malwareschleuder in den Blacklists stehen und die können, weil die ihre Systeme kennen, auch die richtigen Antworten geben. Hat Dein Hoster keinen kostenlosen (und reagierenden) E-Mail-Support ist er irgendwie keine gute Wahl für Dein gutes Geld.

Jörg Reinholz