Apache, PHP und Zugriffsrechte

[etherius]

Moin moin allerseits.

Bin schon eine Weile am grübeln ...

folgender Workflow:

- ich installiere eine PHP-Forensoftware (vBulletin, Invision PB, phpBB, etc) auf dem Server.

- Das Forum erstellt über den webserver (user wwwrun, gruppe www) dateien auf meinem space.

Wenn ich mir nun bei 1&1 oder so space anmiete, oder auch bei lycos freespace hole ... dann habe ich auf die von meinem forum angelegten dateien volle Rechte und kann sie auch löschen. wie funzt das? der apache und das php laufen ja nicht als mein persönlicher user, also wie funktioniert das ganze?!? Mit meiner momentanen conf:

apache => wwwrun:www

ich => ich:meinegruppe

funktioniert das auf jeden fall nicht ...

mfg

Eth

[robotto7831a]

Hallo,

der User oder die Gruppe auf dem Webspace muss nicht umbedingt mit dem User und der Gruppe vom Apache Daemon übereinstimmen.

Es gibt ja unter Linux drei Berechtigungen. User, Gruppen und "alle".

Und wenn man "alle" das Leserecht gibt lassen sich die Seiten schon im Apache anzeigen.

Frank

[etherius]

Ist mir alles schon bewusst sonst würd ich meinen rootie ja nich administriert kriegen wenn ich das nicht wüsste.

Punkt ist aber immer noch wenn der apache user die dateien anlegt, dann hat erstmal nur er und evtl. noch seine gruppe rechte drauf, mein ftp user aber nicht.

Und wenn ich z.B. ein Profilfoto in meiner Forensoftware hochlade, dann wird das mit den apache user-rechten gespeichert. Das bedeutet dann, dass ich es nicht löschen kann wenn ich mich als ftp user anlege. Hat der apache da noch irgendwo ne umask setting oder sowas?!?

[outlaw079]

Also es wäre möglich dass dein Apache User ne umask festgelegt hat. oder es ist im PHP festgelegt wie Dateien die hochgeladen werden angelegt werden. Schau mal in die PHP.ini rein.

Gruss Marc

[etherius]

über session.save_path steht:

; The file storage module creates files using mode 600 by default.

; You can change that by using

;

; session.save_path = "N;MODE;/path"

;

; where MODE is the octal representation of the mode. Note that this

; does not overwrite the process's umask.

Allerdings scheint das ja nur für die sessions zu gelten an dieser Stelle ...

Ist aber schonmal interessant dass die default maske 600 ist ...

Gibts vielleicht ne ini setting mit der ich die maske standard ändern kann? oder ne apache setting? Hab leider grad keine Zeit google zu befragen ...

[geloescht_JesterDay]

Wenn ich mir nun bei 1&1 oder so space anmiete, oder auch bei lycos freespace hole ... dann habe ich auf die von meinem forum angelegten dateien volle Rechte und kann sie auch löschen. wie funzt das? der apache und das php laufen ja nicht als mein persönlicher user, also wie funktioniert das ganze?!? Mit meiner momentanen conf:

apache => wwwrun:www

ich => ich:meinegruppe

funktioniert das auf jeden fall nicht ...

Bei meinem Webspace läuft es auch so, dass der Apache-User und der FTP-User (z.B.) gleich sind. Für jeden Benutzer dort...

Was ich dazu gefunden habe ist, dass du den PHP-Prozess per FastCGI und suexec unter einer "normalen" UserID ausführst nund nicht unter der Apache uid:

http://www.k4ml.com/wiki/server/apache/php-fastcgi

EDIT:

Außerdem der 2te Kommentar hier:

http://php3.de/manual/de/security.apache.php

[etherius]

War da nicht irgendwas dass php als cgi langsamer ist?!?

[Amstelchen]

War da nicht irgendwas dass php als cgi langsamer ist?!?

nicht zwangsläufig. üblicherweise läuft php auf dem apachen als modul (DSO) wesentlich performanter, die verwendung von FastCGI macht aber viele CGI-nachteile wett und ist desweiteren wesentlich besser konfigurierbar und zumeist noch performanter als die reine mod_...-variante.

s'Amstel

[etherius]

Hört sich auf jeden Fall interessant an und würde die Problematik mit den FTP usern durch suexec wahrscheinlich auch lösen ... muss ich mal schauen am WE oder nächste woche irgendwann ...

auf jeden Fall schönen dank an alle