Re: mit sftp hochgeladene Dateien sollen www-data gehören
Hallo Boris,
verwende doch einfach ACLs (POSIX Access Control Lists).
Ein kurzen Überblick erhältst Du durch:
- man 8 mount (dort nach der Option acl für dein Dateisystem suchen)
- man 1 setfacl / man 1 getfacl
- man 5 acl (hier wird auch die Bedeutung von "mask" und "effective"
in der Ausgabe von getfacl erläutert)
Mit ACLs (bzw. ACEs - access control entries) kannst Du dem User
www-data genau die benötigten Rechte auf Objekte im Dateisystem (i.a.
Ordner und reguläre Dateien) geben, obwohl er nicht Besitzer und auch
nicht Mitglied der Gruppe dieser Objekte ist.
Hinweise:
- Setze rekursiv eine _default_ ACL, dann erhalten neu hochgeladene
Ordner/Dateien diese automatisch beim upload - default ACLs werden
vererbt.
- Stelle die umask deines (s)ftp-Servers richtig ein, sonst klappt's
mit dieser Vererbung nicht.
Wenn Du noch Fragen hast, dann schreib noch mal.
Ich hab das von Dir beschriebene Problem für mich letzte Woche so gelöst.
Sonnige Grüße!
Matthias Böttcher
Am 20. Juni 2011 11:55 schrieb Boris <boris@cation.de>:
> Am 27.05.2011 09:57, schrieb Alexander Reichle-Schmehl:
>> Hi!
>>
>> Am 26.05.2011 20:44, schrieb Martin Steigerwald:
>>
>>> Nunja, der Benutzer soll ja SFTP verwenden und wenn das - mit scponly,
>>> gutem Passwort oder passwort-geschützten SSH-Schlüssel - entsprechend
>>> abgesichert ist, finde ich das besser, als den unverschlüsselten FTP-
>>> Zugang, den die als ich das letzte Mal einen hatten, viele Webhosting-
>>> Provider verwendeten.
>>
>> Dagegen sage ich ja nichts, das finde ich auch gut :)
>>
>>> So oder so sollte der Benutzer sein Joomla dann aber auch aktuell halten -
>>> und hoffen, dass der Joomla-Code sicherheitstechnisch zumindest
>>> einigermaßen okay ist... daher kann ich die Vorsicht, was ausführbaren
>>> Code im Webserver anbetrifft schon verstehen.
>>
>> Ja, und gerade deswegen Frage ich mich, warum der OP Unbedingt will,
>> dass die Dateien www-data:www-data gehören.
>>
>
> Moin zusammen,
>
> das Problem liegt mir leider immernoch an der Seele.
> inzwischen weiß ich, dass es um Typo3 geht.
>
> Die Sicherheitsdiskussion kickt den Ball hin und her. Typo3 will, dass
> mindestens einige Verzeichnisse von www-data beschreibbar sind. Also
> muss (wenn das nicht gleich www-data ist) derjenige, der die Dateien
> hochlädt, das Recht zum Owner changen und chmodden haben. Das ist auch
> nicht sicher.
>
> Ich möchte nun gerne, dass die per sftp hochgeladenen Dateien
> www-data:www-data gehören. Setze ich das sgid auf das Verzeichnis,
> gehören die Files <User>:www-data . Setze ich suid, ändert sich nichts.
>
> Ich wundere mich darüber, dass das Problem scheinbar niemand hat.
> Wahrscheinlich ist sftp nicht sehr verbreitet....
>
> Die einzige 'Lösung', die ich gegenwärtig nutze, ist, in passwd die UID
> und GID 33 zu setzen für den Benutzer.....
>
> Boris
>
>
>
>
> --
> Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
> mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
> Archive: [🔎] 4DFF1917.1070805@cation.de">http://lists.debian.org/[🔎] 4DFF1917.1070805@cation.de
Reply to: