Hi!
Folgendes Problem: SuSE Linux Webserver mit Apache. Verzeichnis /usr/local/httpd/htdocs/. /usr/local/httpd/htdocs/ gehört wie sämtliche Unterverzeichnisse root. Nun kann ich /usr/local/httpd/htdocs/ mit chgrp -R webusers /usr/local/httpd/htdocs/ rekursiv z.B. der Gruppe webusers zuweisen. Soweit so gut, aber wie stelle ich es an, dass die von einem Script, welches mit Root-Rechten läuft, hochgeladenen Dateien ebenfalls der Gruppe webusers gehören. Zudem möchte ich fragen, wie es sicherheitstechnisch aussieht, wenn ich den Ganzen Ordner /usr/local/httpd/htdocs/ und sämtliche Unterverzeichnisse der Gruppe webusers mit den Rechten 775 zuweise. Der Gruppe webuser gehören 2 Personen an, die auf sämtlichen Dateien des Webverzeichnisses Lese-, Schreib- und Ausführrechte benötigen. Und wenn ich die beiden User erstelle, was gebe ich für Home-Verzeichnisse (wenn überhaupt) an? Die User sollen nur per SSH Dateien auf den Webserver, d.h. nach /usr/local/httpd/htdocs/ heraufladen können.
Vielen Dank,
Kurt
Apache
Re: Apache
Wenn das Script lokal auf dem Server läuft könntest Du am Ende ein 'find /usr/local/httpd/htdocs/ -not -group webuser -exec chgrp -R webusers {} ;<!--no-->' dranhängen.
Wenn das Script remote läuft, bleibt Dir nix anderes, als entweder den ganzen Upload mit einem User mit der Defaultgroup webuser hat zu machen, oder ein remote-
command mit ssh abzusetzen, daß die Rechte wie oben beschrieben überschreibt.
(also: 'ssh root@server find /usr/local/httpd/htdocs/ -not -group webuser -exec chgrp -R webusers {} ;<!--no-->')
Also ich denke das sinnvollste ist, daß die User kein Homedirs bekommen, sondern als Homedir /usr/local/httpd/htdocs/ eingetragen bekommenund dann als default
shell /bin/false. Das hat zur Folge daß die sich nicht via SHH in eine Shell einloggen können, sondern eben nur via SCP die Sachen raufscheiben können. Zudem
entspricht für sie ~ dann /usr/local/httpd/htdocs/, was das ganze noch ein bißchen handlicher macht imho.
Wenn das Script remote läuft, bleibt Dir nix anderes, als entweder den ganzen Upload mit einem User mit der Defaultgroup webuser hat zu machen, oder ein remote-
command mit ssh abzusetzen, daß die Rechte wie oben beschrieben überschreibt.
(also: 'ssh root@server find /usr/local/httpd/htdocs/ -not -group webuser -exec chgrp -R webusers {} ;<!--no-->')
Also ich denke das sinnvollste ist, daß die User kein Homedirs bekommen, sondern als Homedir /usr/local/httpd/htdocs/ eingetragen bekommenund dann als default
shell /bin/false. Das hat zur Folge daß die sich nicht via SHH in eine Shell einloggen können, sondern eben nur via SCP die Sachen raufscheiben können. Zudem
entspricht für sie ~ dann /usr/local/httpd/htdocs/, was das ganze noch ein bißchen handlicher macht imho.
bye.olli
--
"Where's Oswald when we need him.."
--
"Where's Oswald when we need him.."
Re: Apache
Anmerkung: Bei find -exec vor dem Semikolon immer ein Backslash. das schluckt das Board...
bye.olli
--
"Where's Oswald when we need him.."
--
"Where's Oswald when we need him.."
Re: Apache
Ne, mit sticky bit änderst Du imho nix an Deinem Problem. Das verhindert nur, daß die User trotz Schreibrechte auf dem Verzeichnis Dateien da drin nicht
löschen oder umbenennen können.
löschen oder umbenennen können.
bye.olli
--
"Where's Oswald when we need him.."
--
"Where's Oswald when we need him.."
Re: Apache
wie wärs mit dem blödsten Ansatz: das Script nicht mit root-Rechten, sondern mit rechten eines Benutzers webusers zu starten?
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
Re: Apache
> wie wärs mit dem blödsten Ansatz: das Script nicht mit root-Rechten, sondern mit rechten eines Benutzers webusers zu starten?
Jo, wie schon vorgeschlagen. (wobei das garnet blöd is) <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
"Wenn das Script remote läuft, bleibt Dir nix anderes, als entweder den ganzen Upload mit einem User mit der Defaultgroup webuser hat zu machen,..."
Jo, wie schon vorgeschlagen. (wobei das garnet blöd is) <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
"Wenn das Script remote läuft, bleibt Dir nix anderes, als entweder den ganzen Upload mit einem User mit der Defaultgroup webuser hat zu machen,..."
bye.olli
--
"Where's Oswald when we need him.."
--
"Where's Oswald when we need him.."