Apache

Message

Kurt · #1 Post by **Kurt** » 23. Jan 2002 14:07

Hi!

Folgendes Problem: SuSE Linux Webserver mit Apache. Verzeichnis /usr/local/httpd/htdocs/. /usr/local/httpd/htdocs/ gehört wie sämtliche Unterverzeichnisse root. Nun kann ich /usr/local/httpd/htdocs/ mit chgrp -R webusers /usr/local/httpd/htdocs/ rekursiv z.B. der Gruppe webusers zuweisen. Soweit so gut, aber wie stelle ich es an, dass die von einem Script, welches mit Root-Rechten läuft, hochgeladenen Dateien ebenfalls der Gruppe webusers gehören. Zudem möchte ich fragen, wie es sicherheitstechnisch aussieht, wenn ich den Ganzen Ordner /usr/local/httpd/htdocs/ und sämtliche Unterverzeichnisse der Gruppe webusers mit den Rechten 775 zuweise. Der Gruppe webuser gehören 2 Personen an, die auf sämtlichen Dateien des Webverzeichnisses Lese-, Schreib- und Ausführrechte benötigen. Und wenn ich die beiden User erstelle, was gebe ich für Home-Verzeichnisse (wenn überhaupt) an? Die User sollen nur per SSH Dateien auf den Webserver, d.h. nach /usr/local/httpd/htdocs/ heraufladen können.

Vielen Dank,
Kurt

odauter · #2 Post by **odauter** » 23. Jan 2002 14:44

Wenn das Script lokal auf dem Server läuft könntest Du am Ende ein 'find /usr/local/httpd/htdocs/ -not -group webuser -exec chgrp -R webusers {} ;' dranhängen.
Wenn das Script remote läuft, bleibt Dir nix anderes, als entweder den ganzen Upload mit einem User mit der Defaultgroup webuser hat zu machen, oder ein remote-
command mit ssh abzusetzen, daß die Rechte wie oben beschrieben überschreibt.
(also: 'ssh root@server find /usr/local/httpd/htdocs/ -not -group webuser -exec chgrp -R webusers {} ;')

Also ich denke das sinnvollste ist, daß die User kein Homedirs bekommen, sondern als Homedir /usr/local/httpd/htdocs/ eingetragen bekommenund dann als default
shell /bin/false. Das hat zur Folge daß die sich nicht via SHH in eine Shell einloggen können, sondern eben nur via SCP die Sachen raufscheiben können. Zudem
entspricht für sie ~ dann /usr/local/httpd/htdocs/, was das ganze noch ein bißchen handlicher macht imho.

odauter · #3 Post by **odauter** » 23. Jan 2002 14:45

Anmerkung: Bei find -exec vor dem Semikolon immer ein Backslash. das schluckt das Board...

Kurt · #4 Post by **Kurt** » 23. Jan 2002 14:49

Und mit dem Sticky-Bit lässt sich nichts machen?

Gruss,
Kurt

odauter · #5 Post by **odauter** » 23. Jan 2002 15:01

Ne, mit sticky bit änderst Du imho nix an Deinem Problem. Das verhindert nur, daß die User trotz Schreibrechte auf dem Verzeichnis Dateien da drin nicht
löschen oder umbenennen können.

trinity · #6 Post by **trinity** » 23. Jan 2002 16:53

wie wärs mit dem blödsten Ansatz: das Script nicht mit root-Rechten, sondern mit rechten eines Benutzers webusers zu starten?

odauter · #7 Post by **odauter** » 23. Jan 2002 22:33

> wie wärs mit dem blödsten Ansatz: das Script nicht mit root-Rechten, sondern mit rechten eines Benutzers webusers zu starten?
Jo, wie schon vorgeschlagen. (wobei das garnet blöd is) <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">

"Wenn das Script remote läuft, bleibt Dir nix anderes, als entweder den ganzen Upload mit einem User mit der Defaultgroup webuser hat zu machen,..."

Pro-Linux

Apache

Apache

Re: Apache

Re: Apache

Re: Apache

Re: Apache

Re: Apache

Re: Apache