Re: Hilfe bei Dateirechten
Moin,
On 07/16/2014 09:02 PM, Marco Brüggemann wrote:
> Der Benutzer "ServerArbeit" soll nur Arbeiten durchführen können, die
> webseitenrelevante Arbeiten sind: FTP-user einrichten/löschen/ändern,
> Datenbanken einrichten/löschen/ändern, Dateirechte
> einrichten/löschen/ändern, Verzeichnis- und Dateiarbeiten, anlegen der
> Virtuellen URL in Apache.
>
> Dafür habe ich bereits über „visudo“ die nötigen Rechte vergeben.
>
> D) FTP-Zugänge
>
> Jede der Webseiten soll einen FTP-Zugang haben und ist auf das
> Verzeichnis der jeweiligen Webseite beschränkt.
>
> Name: "Webseite01FTP"
>
> Ein Verzeichnis könnte zum Beispiel „/var/www/Webprojekt01“ sein
>
> Ich möchte für mich einen FTP-Zugang haben, der im gesamten „/var/www“
> alle Rechte besitzt.
> Name: "FTParbeit"
>
> ---------------------------------------------------------------------------------------
> Wenn ich es richtig verstehe, ist "www-data" der User auf meinem Server,
> auf den ich besonders aufpassen muss, weil dieser ja auch ein Hacker
> sein kann.
> ---------------------------------------------------------------------------------------
>
> Um die Schreibrechte für alle diese Verzeichnisse zu ermöglichen, habe
> ich eine neue Usergruppe erstellt: "SchreibGruppe" mit den Mitgliedern:
> "ServerArbeit", "FTParbeit", "Webseite01FTP"
>
> Danach sollte es egal sein, wem welche Datei im Ordner ////var/www//
> gehört: alle Mitglieder der Gruppe "SchreibGruppe" haben die vollen
> Dateirechte
>
> Daher habe ich für den Ordner ////var/www// und allen Unterordnern und
> Dateien so eingestellt:
> chown -R root:SchreibGruppe /var/www
> Die Schreibrechte sollten nach meinem Verständnis dann so funktionieren:
> chmod -R 2775 /var/www
> "www-data" ist dann "other" und darf nur lesen und ausführen.
>
> Nun gibt es aber auch Dateien, die von "www-data" beschreibbar sein
> müssen - dafür habe ich noch eine Gruppe angelegt: "SchreibGruppeWWW"
> hier befinden sich alle Benutzer von "SchreibGruppe", aber auch der
> Benutzer "www-data"
>
> Anstatt jetzt dem Verzeichnis /var/www/Webseite01/typo3temp die Rechte
> 777 zu geben, wollte ich dem Ordner die Gruppe "SchreibGruppeWWW"
> zuweisen und die Schreibrechte auf 775 belassen (oder 770) denn
> "www-data" bekommt doch dann über die Gruppe alle Rechte!
> ---------------------------------------------------------------------------------------
> Es funktioniert aber nicht! Nur 777 funktioniert!
> ---------------------------------------------------------------------------------------
> Wenn ich allen Dateien den User „www-data“ zuordne, dann habe ich
> spätestens dann ein Problem, wenn ich mit FTP Dateien auf das System
> übertrage. Denn dann ist der Besitzer der Datei der jeweilige FTP-User
> und „www-data“ hat mitunter keine Rechte mehr – Die Webseite wird nicht
> mehr angezeigt.
>
> Über ProFTPd habe ich versucht mit „UserOwner“ und „GroupOwner“
> festzulegen, dass alle Dateien die Hochgeladen werden immer „www-data“
> besitzt, jedoch hat das schlicht weg nicht funktioniert.
>
> Auch kann ich die Lese/Schreib/Ausführrechte mit Umask nie mit einer 7
> vergeben. Hier sind also weitere Probleme.
>
> ---------------------------------------------------------------------------------------
>
> Bitte kann mir jemand erklären, wie ich die Rechte vergeben muss, damit
> Jeder nur das kann was er können soll – und sonst nichts?
Deine Beschreibung klingt komplex. Evtl. können Dir Access Control Lists
(Paket acl) helfen die Rechte gut einzurichten.
Gruß
-- hgb
Reply to: