Re: Benutzerrechte / Apache
* Michelle Konzack [EMAIL PROTECTED] [050331 10:33]: 'apache' benötigt 0755 denn ~/public_html muß WORLD-READABLE sein. Noe, muss nicht. Der nur apache muss in das public_html wechseln und es lesen koennen, der Rest der Welt muss nicht. In der apache Dokumentation steht aber was anderes... /home 0755 /home/$USER 0755 /home/$USER/public_html 0755 Apache greift als nobody mit nogroup darauf zu. Dann stimmt die Dokumentation in diesem Fall nicht, denn es funktioniert definitiv: $ ll -d public_html/ public_html/test drwxr-x--- 2 alex www-data 4096 2005-04-01 21:16 public_html// -rw-r- 1 alex www-data5 2005-04-01 21:16 public_html/test $ wget localhost/~alex/test [..] HTTP Anforderung gesendet, warte auf Antwort... 200 OK Yours sincerely, Alexander signature.asc Description: Digital signature
Re: Benutzerrechte / Apache
* Michelle Konzack [EMAIL PROTECTED] [050331 10:34]: Wie waers mit einem chgrp www-data und 750 auf dem public_html und +x auf dem home? Wuerde das nicht reichen? ??? Wasn das für ein Pfush ? Das ist ein Pfush, der es einem User erlaubt, seien Daten von apache lesen zu lassen, nicht aber von anderen Usern. Habe ich gerade testhalber gemacht... Da kann ich als $USER nicht mehr zugreifen. Aha. Und wie soll das mit obigem Befehl zusammenhaengen? Yours sincerely, Alexander signature.asc Description: Digital signature
Re: Benutzerrechte / Apache
Am 2005-03-31 04:31:45, schrieb Alexander Schmehl: * Michelle Konzack [EMAIL PROTECTED] [050331 00:53]: 'apache' benötigt 0755 denn ~/public_html muß WORLD-READABLE sein. Noe, muss nicht. Der nur apache muss in das public_html wechseln und es lesen koennen, der Rest der Welt muss nicht. In der apache Dokumentation steht aber was anderes... /home 0755 /home/$USER 0755 /home/$USER/public_html 0755 Apache greift als nobody mit nogroup darauf zu. Yours sincerely, Alexander Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Benutzerrechte / Apache
Am 2005-03-31 04:30:16, schrieb Alexander Schmehl: * Christoph Klein [EMAIL PROTECTED] [050331 00:35]: das problem, welches ich dabei habe, ist, dass die benutzer untereinander nicht in gegenseitige homedirs kommen sollen, also benutzer 1 darf keine leserechte im homedir von benutzer 2 haben, obwohl beide in derselben gruppe sind; deswegen eigentlich chmod 700. Wie waers mit einem chgrp www-data und 750 auf dem public_html und +x auf dem home? Wuerde das nicht reichen? ??? Wasn das für ein Pfush ? Habe ich gerade testhalber gemacht... Da kann ich als $USER nicht mehr zugreifen. Yours sincerely, Alexander Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Benutzerrechte / Apache
Hallo Liste, Es währe nett, wenn Du zukünftig Zeilen bei 72 Zeichen umbrechen könnet. kein problem...soweit auf outl00k verlass ist, sollte das jetzt gehen *g* 'apache' benötigt 0755 denn ~/public_html muß WORLD-READABLE sein. hmm - soweit ich das verstehe, läuft ja der apache unter debian normalerweise unter www-data/www-data. müsste es dann nicht davon abhängig sein, ob der benutzer www-data rx rechte hat oder nicht ? Wie waers mit einem chgrp www-data und 750 auf dem public_html und +x auf dem home? Wuerde das nicht reichen? naja, dann müsste ich die windows-nutzergruppe im samba groupmap auch auf www-data setzen. Die homedirs der unix-user sind gleichzeitig die homedirs der nutzer der samba-windows-domäne. alle nutzer sind momentan in der gruppe smbusers, welche dann im samba groupmap auf die windows-nutzer gemappt ist. da es auch samba freigaben gibt, die alle benutzer verwenden und bei denen über das s-bit geregelt ist, dass von samba erstellte dateien auch zu smbusers gehören, würde das ganze bei einer änderung der gruppe vielleicht etwas kompliziert werden ... Allerdings habe ich mir ein INIT script geschrieben das beim booten nachsiht, welcher $USER ein ~/public_html hat und dann symlinks nach /var/www/$USER anlegt. Alte nicht existierende Links werden automatisch entfernt. Alles was Du noch erlauben mußt ist, das 'apache' symlinks folgen darf. Im Apache ist direkt ~/ das homedir freigegeben (natürlich mit .htaccess schutz). Die Lösung mit den symlinks - ginge es vielleicht, den apache unter user www-data gruppe smbusers laufen zu lassen, in /var/www/benutzer1 einen link nach /home/benutzer1 anzulegen, mit eigentümer www-data, gruppe root, chmod 700, zu dem der apache ja dann zugang hätte (weil er ja unter user www-data läuft), die Benutzer aber nicht ? geht es, dass dann dass das homeverz. selbst weiterhin trotzdem mit chmod 700 läuft, der apache unabhängig davon über den symlink trotzdem in die verzeichnisse reinkommt ? Die Dateien in den homedirs dann aber mit chmod 750, sodass der apache, der ja unter gruppe smbusers läuft, leserechte hat ? Ist vielleicht eine etwas außergewöhnliche lösung, aber vielleicht funktioniert es ja - nur ob es wirklich sicher ist, weiß ich nicht *g* mfg Christoph -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Benutzerrechte / Apache
Hallo Christoph, Es währe nett, wenn Du zukünftig Zeilen bei 72 Zeichen umbrechen könnet. Auch wenn ich nen modifizierten framebuffer habe der über 4 Monitore geht, es ist schwierig auf solche E-mails zu antworten. Am 2005-03-31 00:35:04, schrieb Christoph Klein: Hallo Liste, ich versuche seit einiger Zeit, homedirectories mit jeweils dem chmod 700 im apache verfügbar zu machen. das problem, welches ich dabei habe, ist, dass die benutzer untereinander nicht in gegenseitige homedirs kommen sollen, also benutzer 1 darf keine leserechte im homedir von benutzer 2 haben, obwohl beide in derselben gruppe sind; deswegen eigentlich chmod 700. 'apache' benötigt 0755 denn ~/public_html muß WORLD-READABLE sein. Allerdings habe ich mir ein INIT script geschrieben das beim booten nachsiht, welcher $USER ein ~/public_html hat und dann symlinks nach /var/www/$USER anlegt. Alte nicht existierende Links werden automatisch entfernt. Alles was Du noch erlauben mußt ist, das 'apache' symlinks folgen darf. Nun muss der apache aber ja auch unter genau demselben benutzer laufen, um zugriff auf die dateien im jeweiligen homedir zu haben. also habe ich einfach mal SuExec ausprobiert, was aber nur für /var/www als SuExec-dir kompiliert ist (im debian paket), woraufhin ich einen symbolischen link von /var/www nach /home angelegt habe. Dann einen vHost mit DocRoot /var/www/benutzer1 und user benutzer1 group gruppe1. Dass SuExec mit symbolischen Links von Verzeichnissen funktioniert, habe ich mehrfach ergooglen können, denke, dass das schon so sein wird. - aber leider funktioniert es nicht. der Apache gibt immernoch Permission denied zurück, obwohl var, www und benutzer1 von benutzer1 les-und ausführbar sind. Ich vermute mal, dass SuExec nicht für den apache-prozess wirksam ist, sondern nur für die scripts, welche dieser ausführt - also würde suexec in diesem fall nicht allzuviel bringen. Gibt es denn eine möglichkeit, den apache _selbst_ zb bei bestimmten directorys oder vhosts unter einem anderen Benutzer auszuführen ? oder einen anderen lösungsweg noch ? ich komme jedenfalls nicht mehr weiter - wäre für etwas Hilfe sehr dankbar :-) mfg Christoph Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Benutzerrechte / Apache
Hallo Liste, ich versuche seit einiger Zeit, homedirectories mit jeweils dem chmod 700 im apache verfügbar zu machen. das problem, welches ich dabei habe, ist, dass die benutzer untereinander nicht in gegenseitige homedirs kommen sollen, also benutzer 1 darf keine leserechte im homedir von benutzer 2 haben, obwohl beide in derselben gruppe sind; deswegen eigentlich chmod 700. Nun muss der apache aber jaauch unter genau demselben benutzer laufen, um zugriff auf die dateien im jeweiligen homedir zu haben. also habe ich einfach mal SuExec ausprobiert, was aber nur für /var/www als SuExec-dir kompiliert ist (im debian paket), woraufhin ich einen symbolischen link von /var/www nach /home angelegt habe. Dann einen vHost mit DocRoot /var/www/benutzer1 und "user benutzer1" "group gruppe1". Dass SuExec mit symbolischen Links von Verzeichnissen funktioniert, habe ich mehrfach ergooglen können, denke, dass das schon so sein wird. - aber leider funktioniert es nicht. der Apache gibt immernoch "Permission denied" zurück, obwohl var, www und benutzer1 von benutzer1 les-und ausführbar sind. Ich vermute mal, dass SuExec nicht für den apache-prozess wirksam ist, sondern nur für die scripts, welche dieser ausführt - also würde suexec in diesem fall nicht allzuviel bringen. Gibt es denn eine möglichkeit, den apache _selbst_ zb bei bestimmten directorys oder vhosts unter einem anderen Benutzer auszuführen ? oder einen anderen lösungsweg noch ? ich komme jedenfalls nicht mehr weiter - wäre für etwas Hilfe sehr dankbar :-) mfg Christoph
Re: Benutzerrechte / Apache
* Christoph Klein [EMAIL PROTECTED] [050331 00:35]: das problem, welches ich dabei habe, ist, dass die benutzer untereinander nicht in gegenseitige homedirs kommen sollen, also benutzer 1 darf keine leserechte im homedir von benutzer 2 haben, obwohl beide in derselben gruppe sind; deswegen eigentlich chmod 700. Wie waers mit einem chgrp www-data und 750 auf dem public_html und +x auf dem home? Wuerde das nicht reichen? Yours sincerely, Alexander -- http://learn.to/quote/ http://www.catb.org/~esr/faqs/smart-questions.html signature.asc Description: Digital signature
Re: Benutzerrechte / Apache
* Michelle Konzack [EMAIL PROTECTED] [050331 00:53]: 'apache' benötigt 0755 denn ~/public_html muß WORLD-READABLE sein. Noe, muss nicht. Der nur apache muss in das public_html wechseln und es lesen koennen, der Rest der Welt muss nicht. Yours sincerely, Alexander -- http://learn.to/quote/ http://www.catb.org/~esr/faqs/smart-questions.html signature.asc Description: Digital signature