Am 20.06.2011 11:55, schrieb Boris: > Moin zusammen, > > das Problem liegt mir leider immernoch an der Seele. > inzwischen weiß ich, dass es um Typo3 geht. > > Die Sicherheitsdiskussion kickt den Ball hin und her. Typo3 will, dass > mindestens einige Verzeichnisse von www-data beschreibbar sind. Also Die sind ja bekannt, das läßt sich selektiv regeln, z.B. über ein "chmod o+w". Das ist natürlich auch nicht der sicherste Weg. > muss (wenn das nicht gleich www-data ist) derjenige, der die Dateien > hochlädt, das Recht zum Owner changen und chmodden haben. Das ist auch > nicht sicher. Also chown muß nicht sein, das geht ja auch nur als root. > Ich möchte nun gerne, dass die per sftp hochgeladenen Dateien > www-data:www-data gehören. Setze ich das sgid auf das Verzeichnis, > gehören die Files <User>:www-data . Setze ich suid, ändert sich > nichts. Ich setze hier auf apache-itk. Um das Ganze zu verfeinern gibt es 2 User für jeden vHost, die beide in derselben Gruppe sind: user1:user1 user1-www:user1 Mit "AssignUserId user1-www user1 läuft der VirtualHost mit eigenen Benutzerrechten in der Gruppe von user1. Der User lädt seine Dateien als user1 hoch und regelt den Rest über das Gruppenrecht. chmod [750|640] für Verzeichnisse/Dateien nur lesend für den *-www chmod [770|660] für die Beschreibbaren Damit sind auch gleichzeitig alle anderen User vom Zugriff ausgeschlossen und das läßt sich mit jedem [s]ftp-Client lösen. > Ich wundere mich darüber, dass das Problem scheinbar niemand hat. > Wahrscheinlich ist sftp nicht sehr verbreitet.... Das ist kein Problem von [s]ftp, sondern einfach nur ein typisches Rechteproblem. > Die einzige 'Lösung', die ich gegenwärtig nutze, ist, in passwd die > UID und GID 33 zu setzen für den Benutzer..... Das ist erst recht keine Lösung. Gruß Rico
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature