[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Hilfe bei Dateirechten

Hallo Leute,

für mich ist das ein großes Problem an dem ich nun schon 3 oder 4 Wochen arbeite, und ich komme zu keiner Lösung. Darum bitte ich um eure Hilfe.

A) System:

VServer mit Debian7, Apache2, php5, Mysql und proFTPd
Alle Webseiten basieren auf Typo3

B) Was soll es werden/sein

Ein Server für mehrere Webseiten für verschiedene Benutzer, welche für die jeweilige Webseite einen FTP-Zugang haben. Jeder FTP-User ist in seinem home-Verzeichnis eingesperrt

C) Arbeiten auf dem Server

Da ich nun schon zwei mal mit einem falschen Befehl meinen Server kaputt bekommen habe, will ich die Arbeiten auf dem Server nicht mehr mit „root“ durchführen. Der direkte login mit „root“ ist untersagt.

Der Benutzer "ServerArbeit" soll nur Arbeiten durchführen können, die webseitenrelevante Arbeiten sind: FTP-user einrichten/löschen/ändern, Datenbanken einrichten/löschen/ändern, Dateirechte einrichten/löschen/ändern, Verzeichnis- und Dateiarbeiten, anlegen der Virtuellen URL in Apache.

Dafür habe ich bereits über „visudo“ die nötigen Rechte vergeben.

D) FTP-Zugänge

Jede der Webseiten soll einen FTP-Zugang haben und ist auf das Verzeichnis der jeweiligen Webseite beschränkt.

Name: "Webseite01FTP"

Ein Verzeichnis könnte zum Beispiel „/var/www/Webprojekt01“ sein

Ich möchte für mich einen FTP-Zugang haben, der im gesamten „/var/www“ alle Rechte besitzt.
Name: "FTParbeit"

---------------------------------------------------------------------------------------
Wenn ich es richtig verstehe, ist "www-data" der User auf meinem Server, auf den ich besonders aufpassen muss, weil dieser ja auch ein Hacker sein kann.
---------------------------------------------------------------------------------------

Um die Schreibrechte für alle diese Verzeichnisse zu ermöglichen, habe ich eine neue Usergruppe erstellt: "SchreibGruppe" mit den Mitgliedern: "ServerArbeit", "FTParbeit", "Webseite01FTP"

Danach sollte es egal sein, wem welche Datei im Ordner /var/www/ gehört: alle Mitglieder der Gruppe "SchreibGruppe" haben die vollen Dateirechte

Daher habe ich für den Ordner /var/www/ und allen Unterordnern und Dateien so eingestellt:
chown -R root:SchreibGruppe /var/www
Die Schreibrechte sollten nach meinem Verständnis dann so funktionieren:
chmod -R 2775 /var/www
"www-data" ist dann "other" und darf nur lesen und ausführen.

Nun gibt es aber auch Dateien, die von "www-data" beschreibbar sein müssen - dafür habe ich noch eine Gruppe angelegt: "SchreibGruppeWWW" hier befinden sich alle Benutzer von "SchreibGruppe", aber auch der Benutzer "www-data"

Anstatt jetzt dem Verzeichnis /var/www/Webseite01/typo3temp die Rechte 777 zu geben, wollte ich dem Ordner die Gruppe "SchreibGruppeWWW" zuweisen und die Schreibrechte auf 775 belassen (oder 770) denn "www-data" bekommt doch dann über die Gruppe alle Rechte!
---------------------------------------------------------------------------------------
Es funktioniert aber nicht! Nur 777 funktioniert!
---------------------------------------------------------------------------------------
Wenn ich allen Dateien den User „www-data“ zuordne, dann habe ich spätestens dann ein Problem, wenn ich mit FTP Dateien auf das System übertrage. Denn dann ist der Besitzer der Datei der jeweilige FTP-User und „www-data“ hat mitunter keine Rechte mehr – Die Webseite wird nicht mehr angezeigt.

Über ProFTPd habe ich versucht mit „UserOwner“ und „GroupOwner“ festzulegen, dass alle Dateien die Hochgeladen werden immer „www-data“ besitzt, jedoch hat das schlicht weg nicht funktioniert.

Auch kann ich die Lese/Schreib/Ausführrechte mit Umask nie mit einer 7 vergeben. Hier sind also weitere Probleme.  

---------------------------------------------------------------------------------------

Bitte kann mir jemand erklären, wie ich die Rechte vergeben muss, damit Jeder nur das kann was er können soll – und sonst nichts?

---------------------------------------------------------------------------------------

Vielen Dank für eure Hilfe.
Marco

Reply to: