Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Apache

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Sonstiges
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Kurt
Gast





BeitragVerfasst am: 23. Jan 2002 14:07   Titel: Apache

Hi!

Folgendes Problem: SuSE Linux Webserver mit Apache. Verzeichnis /usr/local/httpd/htdocs/. /usr/local/httpd/htdocs/ gehört wie sämtliche Unterverzeichnisse root. Nun kann ich /usr/local/httpd/htdocs/ mit chgrp -R webusers /usr/local/httpd/htdocs/ rekursiv z.B. der Gruppe webusers zuweisen. Soweit so gut, aber wie stelle ich es an, dass die von einem Script, welches mit Root-Rechten läuft, hochgeladenen Dateien ebenfalls der Gruppe webusers gehören. Zudem möchte ich fragen, wie es sicherheitstechnisch aussieht, wenn ich den Ganzen Ordner /usr/local/httpd/htdocs/ und sämtliche Unterverzeichnisse der Gruppe webusers mit den Rechten 775 zuweise. Der Gruppe webuser gehören 2 Personen an, die auf sämtlichen Dateien des Webverzeichnisses Lese-, Schreib- und Ausführrechte benötigen. Und wenn ich die beiden User erstelle, was gebe ich für Home-Verzeichnisse (wenn überhaupt) an? Die User sollen nur per SSH Dateien auf den Webserver, d.h. nach /usr/local/httpd/htdocs/ heraufladen können.

Vielen Dank,
Kurt
 

odauter



Anmeldungsdatum: 17.04.2000
Beiträge: 460
Wohnort: Hamburg

BeitragVerfasst am: 23. Jan 2002 14:44   Titel: Re: Apache

Wenn das Script lokal auf dem Server läuft könntest Du am Ende ein 'find /usr/local/httpd/htdocs/ -not -group webuser -exec chgrp -R webusers {} ;' dranhängen.
Wenn das Script remote läuft, bleibt Dir nix anderes, als entweder den ganzen Upload mit einem User mit der Defaultgroup webuser hat zu machen, oder ein remote-
command mit ssh abzusetzen, daß die Rechte wie oben beschrieben überschreibt.
(also: 'ssh root@server find /usr/local/httpd/htdocs/ -not -group webuser -exec chgrp -R webusers {} ;')

Also ich denke das sinnvollste ist, daß die User kein Homedirs bekommen, sondern als Homedir /usr/local/httpd/htdocs/ eingetragen bekommenund dann als default
shell /bin/false. Das hat zur Folge daß die sich nicht via SHH in eine Shell einloggen können, sondern eben nur via SCP die Sachen raufscheiben können. Zudem
entspricht für sie ~ dann /usr/local/httpd/htdocs/, was das ganze noch ein bißchen handlicher macht imho.
_________________
bye.olli
--
"Where's Oswald when we need him.."
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

odauter



Anmeldungsdatum: 17.04.2000
Beiträge: 460
Wohnort: Hamburg

BeitragVerfasst am: 23. Jan 2002 14:45   Titel: Re: Apache

Anmerkung: Bei find -exec vor dem Semikolon immer ein Backslash. das schluckt das Board...
_________________
bye.olli
--
"Where's Oswald when we need him.."
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

Kurt
Gast





BeitragVerfasst am: 23. Jan 2002 14:49   Titel: Re: Apache

Und mit dem Sticky-Bit lässt sich nichts machen?

Gruss,
Kurt
 

odauter



Anmeldungsdatum: 17.04.2000
Beiträge: 460
Wohnort: Hamburg

BeitragVerfasst am: 23. Jan 2002 15:01   Titel: Re: Apache

Ne, mit sticky bit änderst Du imho nix an Deinem Problem. Das verhindert nur, daß die User trotz Schreibrechte auf dem Verzeichnis Dateien da drin nicht
löschen oder umbenennen können.
_________________
bye.olli
--
"Where's Oswald when we need him.."
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 23. Jan 2002 16:53   Titel: Re: Apache

wie wärs mit dem blödsten Ansatz: das Script nicht mit root-Rechten, sondern mit rechten eines Benutzers webusers zu starten?
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

odauter



Anmeldungsdatum: 17.04.2000
Beiträge: 460
Wohnort: Hamburg

BeitragVerfasst am: 23. Jan 2002 22:33   Titel: Re: Apache

> wie wärs mit dem blödsten Ansatz: das Script nicht mit root-Rechten, sondern mit rechten eines Benutzers webusers zu starten?
Jo, wie schon vorgeschlagen. (wobei das garnet blöd is)

"Wenn das Script remote läuft, bleibt Dir nix anderes, als entweder den ganzen Upload mit einem User mit der Defaultgroup webuser hat zu machen,..."
_________________
bye.olli
--
"Where's Oswald when we need him.."
 
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Sonstiges Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy