Hallo Mario,eine Bitte: Schick bitte deine Antworten nur an die Liste, nicht noch extra an mich privat. Danke.
Mario Iseli wrote:
Danke für den Tip. Das war mir in der Tat neu. Allerdings hab ich da noch ein Problem. Ich würde das gern auf Verzeichnisse anwenden, die zur Gruppe www-data gehört. Es soll aber nur auf bestimmte Verzeichnisse angewandt werden, nicht auf alle, die zur Gruppe www-data gehören. Die Definition einer neuen Gruppe dafür fällt flach, weil der Apache dann wegen suexec streikt. Siehst du da eine Möglichkeit, das auf ausgewählte Verzeichnisse einer Gruppe zu beschränken?
Das ist Quatsch.
Sehe ich nicht so.
Also, sieh, das geht folgendermassen:
* Gruppe adden, sagen wir mal Name "projekt" * Gruppenpasswort setzen für "projekt" * gpasswd -a www-data projekt (damit der apache ohne passwort die gruppenberechtigung hat)
Das geht aber so nicht. Das betroffene Verzeichnis *muß* der Gruppe www-data gehören, weil sonst von den anderen Scripten aus wegen einer falschen gid seitens des Apache und suexec nicht darauf zugegriffen werden kann. Ein Script mit der gid www-data kann unter suexec nicht auf ein Script mit der gid projekt zugreifen. Und die Scripte brauchen aus anderen Gründen ebenfalls die gid www-data.
Die User die dann am Projekt arbeiten wollen müssen jeweils "newgrp projekt" machen und das Passwort eingeben, sollten sie das nicht müssen kannst du sie wie www-data der Gruppe hinzufügen. Du kannst diese Gruppenberechtigung auf ein x-beliebiges Verzeichnis anwenden, ich seh da echt nicht was dein Problem ist und was suexec damit zu tun hat.
Siehe oben. Meine Verzeichnis darf wegen suexec keiner anderen Gruppe als www-data angehören, aber es soll nur dieses eine Verzeichnis geschützt werden, nicht auch alle anderen, die der Gruppe www-data angehören. Das leistet gpasswd ja offensichtlich nicht.
Hmm, moooment, ich hab da glaub was: http://www.linux-praxis.de/lpic1/lpi102/1.111.1.html :)
Die Basics der Benutzer- und Gruppenrechtevergabe sind mir durchaus bekannt. Aber das, was du vorschlägst, paßt nicht auf meine Anforderungen. Nochmal:
- Es soll nur ein einziges Verzeichnis geschützt werden, alle anderen Verzeichnisse der gleichen Gruppe sollen offen sein.
- Das Verzeichnis *muß* zur Gruppe www-data gehören, weil sonst von Scripten, die der Gruppe www-data angehören, nicht mehr darauf zugegriffen werden kann, weil unter suexec das zugreifende Script derselben Gruppe angehören muß wie das Verzeichnis, auf das zugegriffen werden soll. Eine Änderung der Gruppe für die Scripte kommt ebenfalls wegen anderer Abhängigkeiten nicht in Frage.
Grüße, Alex