dedlfix: make_dir() Funktion gesucht (loginsystem)

Beitrag lesen

Tach!

Im vorliegenden Fall wurde nach dem Erstellen des Verzeichnisses mit chmod() cie Berechtigung auf 0700 gesetzt. Das ist natürlich falsch, weil es kein Standard ist

Moment mal, das geht mir jetzt nicht ein.

Mir auch nicht, das war auch von mir sarkastisch/ironisch/sowas gemeint.

Ich unterscheide zwei Fälle:
a) Eigener Server (Blech oder virtuell):
Der Webserver läuft mit den Rechten eines speziellen Benutzers (www-run || www-data).

Das mach ich selbst bei Servern nicht, die nur eine Anwendung beherbergen sollen. Ich vergebe auch dieser Anwendung einen eigenen Account. Da kommt später garantiert noch was daneben, und sei es ein phpMyAdmin. Das soll und muss nicht alles unter einem Account laufen. Dieses Vorgehen bedingt allerdings auch, dass PHP nicht als Modul sondern als FCGI eingebunden ist, damit SuexecUserGroup funktionieren kann.

Der Webserver legt den Ordner an und in dem sollen die Session-dateien abgelegt werden. Ich sehe offen gestanden keinen Grund, warum ein anderer Benutzer - bestenfalls könnte ich mir vorstellen noch die Gruppe (www-run || www-data) - mit einzubeziehen, an dem Verzeichnis Rechte haben soll.

Ich auch nicht, deswegen vergebe ich da explizit 0700. Die Argumentation von Christian war nun aber, dass das nicht Aufgabe des Scripts sein, sondern die des Administrator, das System so einzurichten, dass sich nichts in die Quere kommt. Und er ließ auch nicht gelten, dass nicht jeder einen Administrator hat, der das Ding sicher aufsetzt - so hab ich ihn verstanden.

Nun ist aber der vorliegende Wiki-Artikel nicht nur für den administrativ sicheren Fall gedacht. Und da sehe ich es als nicht verkehrt an, die Rechte mit 0700 bestmöglich sicher zu setzen.

$dummy=umask(0077);

Die Frage ist dann noch, ob das Setzen der Umask eine gute Idee ist. Das wirkt nämlich nicht nur für das aktuelle Script sondern in multithreaded Webservern auf noch viel mehr. Und dann ergibt sich für mich die Frage, ob das Sichverlassen auf die Umask eine gute Idee ist. Oder kann mir jemand die Bedenken zerstreuen, dass einem da keine ungewollte Umask untergeschoben wird?

dedlfix.