Toon posts:

[apache en ftp] is dit slim?

Pagina: 1
Acties:

vrijdag 21 maart 2003 12:18

Acties:
  • DeTjuk
  • Registratie: December 2000
  • Laatst online: 08-05 09:46

DeTjuk

Topicstarter
Hallo allemaal,

Op mijn Debian server draaien apache en proftpd.

Ik wil via ftp rechtstreeks kunnen schrijven naar /var/www (de root dir van apache).

Ik log in met een normale user. Deze heeft geen schrijfrechten in /var/www

/var/www is van de user en group root

Om er toch voor te zorgen dat ik kan schrijven in /var/www met mijn normale user, heb ik de user toegevoegd aan de group root. Vervolgens /var/www 775 rechten gegeven.

Resultaat is bevredigend, de normale user kan nu uploaden in /var/www

Maar de vraag is, is dit slim om te doen?

Heb na zitten denken over andere oplossing zodat een normale user in /var/www kan schrijven maar daar ben ik niet uitgekomen.

Hebben jullie misschien betere suggesties om dit op te lossen?

[PSN: DeTjuK] Follow your instinct, no one beats you with character and balls.

vrijdag 21 maart 2003 12:20

Acties:
  • RM-rf
  • Registratie: September 2000
  • Laatst online: 08-05 12:14

RM-rf

1 2 3 4 5 7 6 8 9

chmod 766 is al voldoende, zowel group als anybody hebben dan read+write rechten

user group root maken lijkt me idd niet echt slim

[ Voor 39% gewijzigd door RM-rf op 21-03-2003 12:22 ]

Intelligente mensen zoeken in tijden van crisis naar oplossingen, Idioten zoeken dan schuldigen

vrijdag 21 maart 2003 12:21

Acties:
  • el_salvador
  • Registratie: Juni 2002
  • Laatst online: 13-12-2023

el_salvador

njah das duidelijk

ik zou de /var/www van apache maken oid, group root is iig niet zo slim. of chown /var/www naar de groups users toe, weet niet of het dan op jouw distro nog werkt.

vrijdag 21 maart 2003 12:24

Acties:
  • smoking2000
  • Registratie: September 2001
  • Laatst online: 08-05 05:24

smoking2000

DPC-Crew

dpkg-reconfigure reality

Je wilt dat je users hun webpages kunnen uppen neem ik aan, als dat het geval is waarom maak je dat in hun home dir dan geen map aan bv www/ waarin zij hun paginas kunnen plaatsen en deze /home/<user>/www/zet je dan in je apache config met een VirtualHost.

Zo hoeft je je root accout niet te compromisen en kunnen je users toch hun paginas uppen via ftp.

[ Voor 19% gewijzigd door smoking2000 op 21-03-2003 12:25 ]

| [Folding@Home] Announce: Client monitor voor Linux (fci) | fci-1.8.4 | Fatal Error Group |

vrijdag 21 maart 2003 12:24

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 22:03

Wilke

Het enige wat ik anders zou doen is het gebruik van de groep 'root'.

Als je nou een groep 'httpd' maakt (als die er al niet is...), en de users die mogen schrijven in de wwwroot toevoegt aan die groep. En de permissies inderdaad op 755 zet (of 644 is ook prima, aangezien HTML niet per se executable hoeft te zijn - maar de directories zelf trouwens wel, anders kun je ze de inhoud ervan niet opvragen ;) ).

Ook maak je een user 'apache' (een user die niet kan inloggen, dus /bin/false als shell heeft), die ook in de groep 'httpd' komt. De wwwroot maak je dan eigendom van 'apache.httpd' (of hoe je die groep/user ook hebt genoemd).

Vervolgens moet je zorgen dat Apache draait als user 'apache' (en niet als root!).

Dan kun je hetzelfde, maar is het wat veiliger. Je kunt gewoon meerdere users toevoegen aan de groep 'httpd', en dan kunnen ze gewoon in die dir schrijven.

vrijdag 21 maart 2003 12:30

Acties:
  • Hagar
  • Registratie: Februari 2001
  • Laatst online: 14-10-2025

Hagar

Diabootic

debian gebruikt de user/group www-data voor apache
Volgens mij zijn de permissies voor de webroot standaard ook op die user/group ingesteld.
Je kan de user www-data toegang tot je ftp geven of anders jezelf aan de groep www-data toevoegen.

Nu ook zonder stropdas

vrijdag 21 maart 2003 13:00

Acties:
  • DeTjuk
  • Registratie: December 2000
  • Laatst online: 08-05 09:46

DeTjuk

Topicstarter
debian gebruikt inderdaad de user/group www-data voor apache

maar de permissies van /var/www staan niet op www-data ingesteld (standaard) die staan gewoon op root/root

wilke: En ik draai apache niet als root hoor, maar gewoon zoals bovengenoemde www-data

Jouw oplossing is ook mooi, maar weet niet zo 123 hoe ik een /bin/false meegeef aan een user, ben nog wel newbie.
De oplossing van Hagar begrijp ik dan ook wat beter.

Wat ik nu heb gedaan:
/var/www is nu van www-data (zowel user als group) en ik heb de normale user toegevoegd aan group www-data.
Rechten staan nu op 774

Via FTP kan de normale user nu gewoon uploaden en de pagina is hier ook nog gewoon op te vragen...

edit: rechten van 766 naar 774 (anders kwam ik de dir niet meer in)

[ Voor 6% gewijzigd door DeTjuk op 21-03-2003 13:27 ]

[PSN: DeTjuK] Follow your instinct, no one beats you with character and balls.

vrijdag 21 maart 2003 13:11

Acties:

Verwijderd

maar weet niet zo 123 /bin/false meegeef

man usermod
of gewoon /etc/passwd openen, en bij de user /bin/bash vervangen door /bin/false (shell is het laatste van elke regel)

[ Voor 7% gewijzigd door Verwijderd op 21-03-2003 13:12 ]

vrijdag 21 maart 2003 13:17

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 22:03

Wilke

de makkelijkste manier is zoals voodoochille aangeeft. Maar dat zal in Debian ook standaard al wel zo zijn hoor, als apache als die user draait...(denk ik).

vrijdag 21 maart 2003 13:25

Acties:
  • Hagar
  • Registratie: Februari 2001
  • Laatst online: 14-10-2025

Hagar

Diabootic

Nee, www-data heeft /bin/sh als shell in debian

Nu ook zonder stropdas

vrijdag 21 maart 2003 13:28

Acties:
  • DeTjuk
  • Registratie: December 2000
  • Laatst online: 08-05 09:46

DeTjuk

Topicstarter
bedankt voor de reacties! Moet nu even weg, zal daarna nog even kijken naar de laatste suggesties.

[PSN: DeTjuK] Follow your instinct, no one beats you with character and balls.

zondag 30 maart 2003 18:11

Acties:
  • Lentje
  • Registratie: Juni 2001
  • Laatst online: 15:08

Lentje

Hey, hoop dat iemand nog hier komt :)

Maar, ik zit dus met het probleem dat ik mijn /var/www de groep web heb meegegeven. Nu wil ik dat alle mensen uit die groep web ook schrijfrechten hebben. Het zit hem waarschijnlijk in de umask. Ik heb umask 002 geprobeerd. Dat schijnt voor chmod 775 te zijn alleen dan krijg ik echter alle files 664 :/ En die php/plaatjes enzo doen het op 1 of andere manier niet zonder executable rights...

Weet iemand een oplossing? Alvast bedankt..

maandag 31 maart 2003 17:47

Acties:
  • Arioch
  • Registratie: Maart 2002
  • Laatst online: 06-05 14:11

Arioch

<geek>

probeer eens umask 022

maandag 31 maart 2003 19:49

Acties:
  • Eärendil
  • Registratie: Februari 2002
  • Laatst online: 22:14

Eärendil

Read the Friendly Manual: :)

man umask:
code:
1
2
3
4
5
6

The umask is used by open(2) to set initial file permissions on a
newly-created file. Specifically, permissions in the umask are 
turned off from the mode argument to open(2) (so, for example, 
the common umask default value of 022 results in new files 
being created with permissions 0666 & ~022 = 0644 = rw-r--r-- 
in the usual case where the mode is specified as 0666).

De ftp-server bepaald de standaard waarde voor het mode argument in open(), dus zoek in de config van je ftp-server naar een optie als file_open_mode

[ Voor 15% gewijzigd door Eärendil op 31-03-2003 19:54 ]

Pagina: 1
Reageer