✔ kleines CMS und chmod Rechte

[supersalzi]

Hey,

nimm einfach 777 - ihr kennt den Tipp.

Ich habe versucht mich in das Thema einzulesen, aber es bleiben ein paar Fragen.
Ich möchte auch nur in Dateien mittels PHP schreiben können.

Wenn ich das richtig verstanden habe, kann PHP die Datei beschreiben, wenn es sie selbst erstellt hat, auch ohne public-write- Recht.
Nun möchte ich aber auch immer mal wieder per FTP an den Dateien arbeiten, somit wäre dann das Schreibrecht für PHP weg.

Was ist also ein vernünftiger Weg, ein kleines Backend zu benutzen, ohne Kopf und Kragen zu riskieren?

.htaccess wird auch immer wieder erwähnt. Was kann ich damit anfangen, wenn die Dateien trozdem per http erreichbar sein sollen?

 

[hmmNaGut]

Eigentlich nicht da weiss jetzt leider nicht die Benutzergruppe
die als www-run oder so erstellt wurden.
wenn ich die Dateirechte mittels ftp auf 777 lesen-schreiben-ausführen setze.
So kann das PHP Programm wieder darauf zugreifen.

MFG Patrick

 

[supersalzi]

wenn ich die Dateirechte mittels ftp auf 777 lesen-schreiben-ausführen setze.

Das das klappt war mich schon klar, aber gibt es auch ne Möglichkeit, den öffentlichen Zugriff etwas einzuschränken?

 

[Michael Engel]

Die einzigen möglichkeiten die man verwenden kann um um 777 rechte herumzukommen sind änderungen am Apache. Mit SuPHP kann man so PHP Für jeden unteruser aus mit den gleichem User ausführen wie auch FTP zugreift. So würde 744 rechte reichen damit du das File schreiben darfst.

Im Aktuellen Apache gibt es ein ähnliches modul.

Aber ohne so etwas kommst du in einer Multi v-host umgebung nicht herum publich rechte zu setzen.

Aber blieben die Benutzerrechte beim überspielen einer Datei nicht ohnehin erhalten?

 

[hmmNaGut]

Reine Vermutung.

Wenn ich ein include ordner habe mit den Skripts
und ich da einen Passwortschutz durch .htaccess mache
dann glaube ich das das Programm noch darauf zu greifen kann.

Habe ich nur mal wo aufgeschnappt, bis jetzt hatte ich noch nicht wirklich was mit den htaccess Dateien zu tun

mfg Patrick

 

[Navy]

Wie wäre es, wenn Du den FTP-User in die Gruppe des www-users/php-user einfügst? Dann kannst Du die public-Rechte komplett einschränken.

 

[supersalzi]

@ Patrick:
Deine "Vermutung" deckt sich mit meiner Erfahrung - ja, das geht.
Dazu habe ich aber keine Lust, da in dem Ordner "content" alles drin sein soll, was den Inhalt ausmacht. Ich möchte da nicht zwischen includeten Inhalten oder direkt ausgegebenen unterscheiden. Es gibt auch so mischmasch, z.B. eine xml-Datei.

@Navy:
Ich habe nur ein Hostin-Packet, shared - multi-v-host, schießmichtot. Da gehts sowas doch nicht, oder?

OK, ich sehe schon, es wird wohl der chmod 777, auch wenn es hier viel Thread gibt, in denen die "Experten" behaupten, man sollte solchen Leuten das 5kg Unix Buch um die Ohren hauen.

Ich muss zugeben, dass ich die Gefahr der Sache auch nicht wirklich verstehe.

 

[Navy]

Sollte jemand Zugriff auf Deinen Server haben, kann er damit ggf. eine PrivilegEscalation hervorrufen, deswegen sollte man sich genau überlegen, welches Zugriffsrechte welche Daten haben. Webserver-Scripte sollten *niemals* 777 haben, da hier im schlimmsten Fall fremder Code eingeschleust werden kann.

 

[supersalzi]

Webserver-Scripte sollten *niemals* 777 haben

wie funktioniert dann z.B. in WordPress das Editieren von PHP-Dateien über die Woboberfläche?

Entweder es machen alle trotzdem, oder es gibt doch noch eine vernünftige Lösung.

 

[Navy]

wie funktioniert dann z.B. in WordPress das Editieren von PHP-Dateien über die Woboberfläche?

Entweder es machen alle trotzdem, oder es gibt doch noch eine vernünftige Lösung.

Nur weil einige Webapplikationen das "brauchen", heißt es noch lange nicht, dass es in Ordnung ist. Globale Schreibrechte auf Ausführbare Dateien ist und bleibt gefährlich...