Re: [PUG] Bentuzerrechte / und ganz entfernt Magento
Am 29.07.2009 23:44, schrieb Sven: also ich würde in dem fall mod_fcgid einsetzen. damit kannste den webserver mit den rechten des benutzers laufen lassen, das problem mit dem schreiben hat sich damit erledigt, weil die user im ftp + webserver identisch sind... ist auch echt einfach einzurichten, da gibs n haufen guter anleitungen zu. Hi Sven, das wollte ich eigentlich nicht machen (frage mich aber jetzt bloß nicht nach den Gründen :-) ). Die Idee kam mir zwar auch schon, ich war aber auch immer der Meinung, dass das auch irgendwie mit mod_php5 gehen muss. Jedenfalls interessiert mich dieser Weg mehr. Wie ist es denn mit mod_setuid oder mod_setgid (ich glaube so hießen die doch)? Wie funktioniert das? Weiß das jemand von Euch? Patrick -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Bentuzerrechte / und ganz entfernt Magento
Hi Martin Am 30.07.2009 07:43, schrieb Martin Schmitt: Patrick Schulz schrieb: Magento muss da selbst in den Verzeichnissen rumschreiben, was es wiederum über den Apache Prozess macht, der wiederum als www-data.www-data unterwegs ist. Was wäre denn, wenn Du www-data in die Gruppe magento-admin packst? Allerdings müßtest Du dann auch noch die umask des Apache anpassen, was ziemlich schwierig wird, wenn es ein shared Webserver ist. Klingt spannend, wie geht das? Also www-data in die Gruppe magento-admin zu packen ist schon einfach, aber die Umask des Apachen? Ah, /etc/apache2/envars. Danke für den Tipp. Was mir im Übrigen noch dazwischen Funkt ist die Umask von 022, die bei den meisten der User (die alle per WinSCP auf den Server zugreifen) gesetzt ist. Es wäre richtig toll wenn man das auch für einen Verzeichnisbaum einzeln einstellen könnte, da 022 für die üblichen Tätigkeiten eigentlich ganz toll ist. 022 führt aber dazu, dass die meisten User vergessen, der Gruppe wieder schreibende Rechte zu geben. umask ist keine Eigenschaft des Dateisystems, sondern der User-Session. Die Leute sollen halt in ihrem WinSCP einmal das passende Häkchen setzen, wenn sie ihre Session abspeichern. http://www.pug.org/mediawiki/index.php/Bild:Winscp-umask.jpg Gut sich das noch einmal ins Gedächtnis zu rufen. Besten Dank für den Scrrenshot, genau das sollte das Problem lösen können. Wie machen das andere? chmod 777 ist in diesem Bereich doch eigentlich recht gängig, oder? :-D Und genau deswegen möchte ich das nicht so machen. Wie machen das Hoster (z.B.)? Wo gibts denn einen Hoster, der sich für Gruppen interessiert? Nirgends. So machen das Hoster. ;-) Da hast Du Recht. Meistens gibt es da für jeden Kunden einen einzignen eigenen User und damit hat sich die Sache. Dennoch interessiert mich das wie man den Owner einer Datei in einem Verzeichnis explizit automatisch setzen lassen kann, ohne chown zu bemühen, und das per SSH bzw. Console Session. Bei FTP wäre es ja kein Problem, da kann man ja den User maskieren, aber wie gesagt, das ist nicht das Szenario. Das SetGID bit verhält sich so wie man es erwartet. Jetzt hätte ich gerne noch das gleiche Verhalten für den Owner. Gruß Patrick -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Bentuzerrechte / und ganz entfernt Magento
setfacl(1) Zitat von Patrick Schulz creato...@web.de: [...] Dennoch interessiert mich das wie man den Owner einer Datei in einem Verzeichnis explizit automatisch setzen lassen kann, ohne chown zu bemühen, und das per SSH bzw. Console Session. [...] -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Bentuzerrechte / und ganz entfernt Magento
Am 31.07.2009 12:51, schrieb Mathias Lustig: Oder einfach mal auf dem Dateisystem mit ACL experimentieren. Ich erledige ein analoges Problem mit MPD und meiner Musiksammlung, auf die mehrere User zugreifen und dort lesen und schreiben sollen, mit Access Control Lists . Hi Mathias, ich habe mit den ACLs unter Linux bisher noch nicht gearbeitet, da ich auch immer der Meinung war, dass das auch irgendwie mit den althergebrachten Mitteln geht. Daher sind ACLs für mich auch eher eine der letzten Möglichkeiten. ACLs sind für Fileserver etc. echt gut (und auch wichtig) aber für das geschilderte Szenario, hoffe ich, geht das auch ohne. Aber dennoch danke für den Hinweis. Gruß Patrick -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Bentuzerrechte / und ganz entfernt Magento
Am 02.08.2009 12:28, schrieb tho...@reifferscheid.org: setfacl(1) Dann scheinen doch ACLs das richtige zu sein, auch wenn ich das in meinem vorigen Post eigentlich vermeiden wollte. -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Bentuzerrechte / und ganz entfernt Magento
Patrick Schulz schrieb: Jetzt hätte ich gerne noch das gleiche Verhalten für den Owner. Ich würde behaupten, daß das überhaupt nicht möglich ist. Du kannst ja auch als User selbst nicht die Ownership Deiner eigenen Dateien ändern. (Leider sind unter Linux die meisten Manpages totaler Mist, und so steht davon in chown(1) nichts geschrieben.) Es stellt sich aber die Frage, wozu Du das eigentlich noch brauchst, wenn Du bereits eine Lösung über Gruppenrechte gefunden hast. -martin -- Martin Schmitt / Schmitt Systemberatung / www.scsy.de -- http://www.pug.org/index.php/Benutzer:Martin -- -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Bentuzerrechte / und ganz entfernt Magento
Am 30. Juli 2009 07:43 schrieb Martin Schmitt m...@scsy.de: Patrick Schulz schrieb: Magento muss da selbst in den Verzeichnissen rumschreiben, was es wiederum über den Apache Prozess macht, der wiederum als www-data.www-data unterwegs ist. Was wäre denn, wenn Du www-data in die Gruppe magento-admin packst? Allerdings müßtest Du dann auch noch die umask des Apache anpassen, was ziemlich schwierig wird, wenn es ein shared Webserver ist. Was mir im Übrigen noch dazwischen Funkt ist die Umask von 022, die bei den meisten der User (die alle per WinSCP auf den Server zugreifen) gesetzt ist. Es wäre richtig toll wenn man das auch für einen Verzeichnisbaum einzeln einstellen könnte, da 022 für die üblichen Tätigkeiten eigentlich ganz toll ist. 022 führt aber dazu, dass die meisten User vergessen, der Gruppe wieder schreibende Rechte zu geben. umask ist keine Eigenschaft des Dateisystems, sondern der User-Session. Die Leute sollen halt in ihrem WinSCP einmal das passende Häkchen setzen, wenn sie ihre Session abspeichern. http://www.pug.org/mediawiki/index.php/Bild:Winscp-umask.jpg Wie machen das andere? chmod 777 ist in diesem Bereich doch eigentlich recht gängig, oder? Wie machen das Hoster (z.B.)? Wo gibts denn einen Hoster, der sich für Gruppen interessiert? Nirgends. So machen das Hoster. ;-) -martin -- Martin Schmitt / Schmitt Systemberatung / www.scsy.de -- http://www.pug.org/index.php/Benutzer:Martin -- -- PUG - Penguin User Group Wiesbaden - http://www.pug.org Oder einfach mal auf dem Dateisystem mit ACL experimentieren. Ich erledige ein analoges Problem mit MPD und meiner Musiksammlung, auf die mehrere User zugreifen und dort lesen und schreiben sollen, mit Access Control Lists . -- Grüße, Mathias --- Mathias Lustig Rheingaustraße 106 65375 Oestrich-Winkel Tel.: 06723 - 885659 Mobil: 0176 - 20529172 ICQ: 77571225 Jabber: mathias[dot]lustig[at]jabber[dot]ccc[dot]de -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Bentuzerrechte / und ganz entfernt Magento
Am 28.07.2009 13:15, schrieb Tobias C. Rittweiler: FreeBSD interpretiert SETUID an Verzeichnissen analog zu SETGID. Jetzt müsste das unter Ubuntu Linux genauso sein. Wieso müssen die Dateien dem Benutzer www-data gehören? Naja, das habe ich jetzt mal so behauptet. Magento muss da selbst in den Verzeichnissen rumschreiben, was es wiederum über den Apache Prozess macht, der wiederum als www-data.www-data unterwegs ist. Jetzt könnte ich natürlich versuchen sowas wie suexec dort anzuwenden, da bin ich allerdings überhaput nicht firm mit, ist aber bestimmt auch eine Möglichkeit (wobei, wenn ich es mir genauer überlege kann man damit auch genug Unfug anstellen). Was mir im Übrigen noch dazwischen Funkt ist die Umask von 022, die bei den meisten der User (die alle per WinSCP auf den Server zugreifen) gesetzt ist. Es wäre richtig toll wenn man das auch für einen Verzeichnisbaum einzeln einstellen könnte, da 022 für die üblichen Tätigkeiten eigentlich ganz toll ist. 022 führt aber dazu, dass die meisten User vergessen, der Gruppe wieder schreibende Rechte zu geben. Hat jemand einen adäquaten Vorschlag? Wie machen das andere? Wie machen das Hoster (z.B.)? Gruß Patirck -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Bentuzerrechte / und ganz entfernt Magento
Hi, also ich würde in dem fall mod_fcgid einsetzen. damit kannste den webserver mit den rechten des benutzers laufen lassen, das problem mit dem schreiben hat sich damit erledigt, weil die user im ftp + webserver identisch sind... ist auch echt einfach einzurichten, da gibs n haufen guter anleitungen zu. lg sven Patrick Schulz schrieb: Am 28.07.2009 13:15, schrieb Tobias C. Rittweiler: FreeBSD interpretiert SETUID an Verzeichnissen analog zu SETGID. Jetzt müsste das unter Ubuntu Linux genauso sein. Wieso müssen die Dateien dem Benutzer www-data gehören? Naja, das habe ich jetzt mal so behauptet. Magento muss da selbst in den Verzeichnissen rumschreiben, was es wiederum über den Apache Prozess macht, der wiederum als www-data.www-data unterwegs ist. Jetzt könnte ich natürlich versuchen sowas wie suexec dort anzuwenden, da bin ich allerdings überhaput nicht firm mit, ist aber bestimmt auch eine Möglichkeit (wobei, wenn ich es mir genauer überlege kann man damit auch genug Unfug anstellen). Was mir im Übrigen noch dazwischen Funkt ist die Umask von 022, die bei den meisten der User (die alle per WinSCP auf den Server zugreifen) gesetzt ist. Es wäre richtig toll wenn man das auch für einen Verzeichnisbaum einzeln einstellen könnte, da 022 für die üblichen Tätigkeiten eigentlich ganz toll ist. 022 führt aber dazu, dass die meisten User vergessen, der Gruppe wieder schreibende Rechte zu geben. Hat jemand einen adäquaten Vorschlag? Wie machen das andere? Wie machen das Hoster (z.B.)? Gruß Patirck -- PUG - Penguin User Group Wiesbaden - http://www.pug.org -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Bentuzerrechte / und ganz entfernt Magento
Patrick Schulz schrieb: Magento muss da selbst in den Verzeichnissen rumschreiben, was es wiederum über den Apache Prozess macht, der wiederum als www-data.www-data unterwegs ist. Was wäre denn, wenn Du www-data in die Gruppe magento-admin packst? Allerdings müßtest Du dann auch noch die umask des Apache anpassen, was ziemlich schwierig wird, wenn es ein shared Webserver ist. Was mir im Übrigen noch dazwischen Funkt ist die Umask von 022, die bei den meisten der User (die alle per WinSCP auf den Server zugreifen) gesetzt ist. Es wäre richtig toll wenn man das auch für einen Verzeichnisbaum einzeln einstellen könnte, da 022 für die üblichen Tätigkeiten eigentlich ganz toll ist. 022 führt aber dazu, dass die meisten User vergessen, der Gruppe wieder schreibende Rechte zu geben. umask ist keine Eigenschaft des Dateisystems, sondern der User-Session. Die Leute sollen halt in ihrem WinSCP einmal das passende Häkchen setzen, wenn sie ihre Session abspeichern. http://www.pug.org/mediawiki/index.php/Bild:Winscp-umask.jpg Wie machen das andere? chmod 777 ist in diesem Bereich doch eigentlich recht gängig, oder? Wie machen das Hoster (z.B.)? Wo gibts denn einen Hoster, der sich für Gruppen interessiert? Nirgends. So machen das Hoster. ;-) -martin -- Martin Schmitt / Schmitt Systemberatung / www.scsy.de -- http://www.pug.org/index.php/Benutzer:Martin -- -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
Re: [PUG] Bentuzerrechte / und ganz entfernt Magento
Patrick Schulz creato...@web.de writes: Die Dateien des Magento Systems müssen allerdings dem User www-data gehören und der Gruppe magento-admin zugewiesen sein (letzteres habe ich schon durch das SetGID bit geschafft), aber der Owner ist am Ende (bei neuen Dateien oder so) immer der User der sich angemeldet hat. FreeBSD interpretiert SETUID an Verzeichnissen analog zu SETGID. Wieso müssen die Dateien dem Benutzer www-data gehören? -T. -- Diese Nachricht wurde auf Viren und andere gefaerliche Inhalte untersucht und ist - aktuelle Virenscanner vorausgesetzt - sauber. Freebits E-Mail Virus Scanner -- PUG - Penguin User Group Wiesbaden - http://www.pug.org
