[Linux] Rechten van bestanden en dirs - Linux en overige clients

donderdag 8 april 2004 20:11

Acties:

Dunno

Topicstarter

Deze vraag zal wel tig maal eerder gesteld zijn, maar omdat de Search hier weigert, en ik er met Google ook niet uitkom stel ik het toch maar hier

Ik wil met PHP een log van mijn website bijhouden, en hiervoor dagelijks een nieuw bestand laten maken. Dit hoort gewoon met de functie fopen("bestand", "a"); te kunnen.

Wanneer ik handmatig 'bestand' aanmaak, en dit de goede rechten geef '644' dan werkt het wel, maar zodra het bestand niet bestaat, en PHP moet het zelf aanmaken dan gaat dat niet, en krijg ik een melding 'Permissions denied'.

Nu heb ik de betreffende dir al '755' gegeven met chmod, maar toch werkt het niet.

It's what it is...

donderdag 8 april 2004 20:13

Acties:

Verwijderd

onder welk account draait dat php? Dan moet je dat account rechten geven in die directory om te schrijven. Dus owner maken.

Ik kan het mis hebben, ben weer een beetje uit linux

[ Voor 20% gewijzigd door Verwijderd op 08-04-2004 20:14 ]

donderdag 8 april 2004 20:14

Acties:

LinuX-TUX

Misschien behoord dat aanmaken van een bestand wel tot "execute" iets?

Wat gebeurd er als je de folder chmod naar 777 ?

EDIT
Ik zie net dat 755 = -rwxr-xr-x
Dus wat hieronder staat klopt. Wil je anderen (dus de PHP engine/gebruiker die over apache/php gaat) laten schrijven, dan moet je chmod, van die directory, naar 766 doen ( -rwxrw-rw- als het dan nog niet werkt, kan je altijd 777 proberen

)

[ Voor 61% gewijzigd door LinuX-TUX op 08-04-2004 20:17 ]

donderdag 8 april 2004 20:15

Acties:

TRON

777 chmodden? Of zie ik dat nou verkeerd?

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

donderdag 8 april 2004 20:18

Acties:

Acropia

Dunno

Topicstarter

TRON schreef op 08 april 2004 @ 20:15:
777 chmodden? Of zie ik dat nou verkeerd?

grapjas...

It's what it is...

donderdag 8 april 2004 20:18

Acties:

Verwijderd

TRON schreef op 08 april 2004 @ 20:15:
777 chmodden? Of zie ik dat nou verkeerd?

dat werkt altijd, maar dan kan iedereen alles flikken in die dir.

donderdag 8 april 2004 20:25

Acties:

Acropia

Dunno

Topicstarter

Verwijderd schreef op 08 april 2004 @ 20:18:
[...]

dat werkt altijd, maar dan kan iedereen alles flikken in die dir.

daarom, en dat is ook niet te bedoeling

It's what it is...

donderdag 8 april 2004 20:26

Acties:

Acropia

Dunno

Topicstarter

zou het ook nog wat te maken kunnen hebben dat apache in een chroot-jail draait?

It's what it is...

donderdag 8 april 2004 20:28

Acties:

Verwijderd

Acropia schreef op 08 april 2004 @ 20:26:
zou het ook nog wat te maken kunnen hebben dat apache in een chroot-jail draait?

Volgens mij niet. Maar chown werkt dus niet?

donderdag 8 april 2004 20:30

Acties:

Acropia

Dunno

Topicstarter

Verwijderd schreef op 08 april 2004 @ 20:28:
[...]

Volgens mij niet. Maar chown werkt dus niet?

ik heb geen flauw id welke user php gebruikt...

enig idee hoe ik daar achter kom, ik kom namelijk niets tegen in de config van php

It's what it is...

donderdag 8 april 2004 20:31

Acties:

elTigro

Es un Gringo!

php draait als dezelfde user als apache.
Bij redhat (fedora ook) heet die user apache.
Je kunt dit vinden in /etc/httpd/conf/httpd.conf
je kunt ook kijken hoe apache draait (als je natuurlijk apache gebruikt) met ps -A u

[ Voor 71% gewijzigd door elTigro op 08-04-2004 20:34 ]

Lazlo's Chinese Relativity Axiom:No matter how great your triumphs or how tragic your defeats --approximately one billion Chinese couldn't care less.

donderdag 8 april 2004 20:32

Acties:

Verwijderd

Acropia schreef op 08 april 2004 @ 20:30:
[...]

ik heb geen flauw id welke user php gebruikt...

enig idee hoe ik daar achter kom, ik kom namelijk niets tegen in de config van php

Ik weet niet onder wat voor proces het draait, waarschijnlijk onder apache. Met ps -eaf zie je alle processen, en kan je zien welke gebruikersnaam hoort bij apache of php. Vervolgens moet je met die gebruikersnaam chown doen.

donderdag 8 april 2004 20:33

Acties:

Gertjan

mmmm, beer...

Acropia schreef op 08 april 2004 @ 20:30:
[...]

ik heb geen flauw id welke user php gebruikt...
enig idee hoe ik daar achter kom, ik kom namelijk niets tegen in de config van php

PHP draait onder de user waar apache ook onder draait, meestal www-data of www-user. Je kan er makkelijk achter komen door een dir even 777 te chmodden, php er een bestand in te laten zetten en dan te kijken wie de owner is. Daarna kun je de dir de juiste rechten geven.

donderdag 8 april 2004 20:34

Acties:

LinuX-TUX

code:

1	ps -ef \| grep apache

code:

1	ps -ef \| grep httpd

Maargoed, chmod 766 dir/ werkt niet? Ik heb het net hier gedaan, werkte perfect.

donderdag 8 april 2004 20:35

Acties:

elTigro

Es un Gringo!

LinuX-TUX schreef op 08 april 2004 @ 20:34:
code:
1
ps -ef | grep apache
of
code:
1
ps -ef | grep httpd
Maargoed, chmod 766 dir/ werkt niet? Ik heb het net hier gedaan, werkte perfect.

misschien chmod -R ?

Lazlo's Chinese Relativity Axiom:No matter how great your triumphs or how tragic your defeats --approximately one billion Chinese couldn't care less.

donderdag 8 april 2004 20:35

Acties:

Verwijderd

LinuX-TUX schreef op 08 april 2004 @ 20:34:
code:
1
ps -ef | grep apache
of
code:
1
ps -ef | grep httpd
Maargoed, chmod 766 dir/ werkt niet? Ik heb het net hier gedaan, werkte perfect.

766 is bijna zo erg als 777, dan kan iedereen van alles schrijven, alleen niet executeren. Maar dat moet zeker werken, als php niets hoeft op te starten in die dir.

donderdag 8 april 2004 20:38

Acties:

elTigro

Es un Gringo!

Verwijderd schreef op 08 april 2004 @ 20:35:
[...]

766 is bijna zo erg als 777, dan kan iedereen van alles schrijven, alleen niet executeren. Maar dat moet zeker werken, als php niets hoeft op te starten in die dir.

als je in een subdirecotry wilt schrijven moet de directory die die subdir bevat wel executable zijn, anders kan php er niet naar chdir'en.

Lazlo's Chinese Relativity Axiom:No matter how great your triumphs or how tragic your defeats --approximately one billion Chinese couldn't care less.

donderdag 8 april 2004 20:42

Acties:

Verwijderd

BK1 schreef op 08 april 2004 @ 20:38:
[...]

als je in een subdirecotry wilt schrijven moet de directory die die subdir bevat wel executable zijn, anders kan php er niet naar chdir'en.

Ja dat klopt geloof ik, dus als de bovenliggende dir executable is, kan php chdirren en dus schrijven, als dit niet zo is, dan niet. Maar wat heeft dit precies met 766 te maken

donderdag 8 april 2004 20:46

Acties:

elTigro

Es un Gringo!

Ik dacht dat ie die directory misschien wel in een subdir van zijn site heeft gemaakt. of gewoon in zijn ~acropia/ dir. Dat is vaak dan /home/acropia/public_html . je homedir moet dan ook toegankelijk zijn voor apache. 777 zeg maar. nou ja, iig executable voor apache

777 is wel beetje te veel vanhet goede
Zoiets bedoelde ik geloof ik...

[ Voor 13% gewijzigd door elTigro op 08-04-2004 20:53 ]

Lazlo's Chinese Relativity Axiom:No matter how great your triumphs or how tragic your defeats --approximately one billion Chinese couldn't care less.

donderdag 8 april 2004 20:50

Acties:

elTigro

Es un Gringo!

ik heb overigens ook een website (joh echt waar? ja echt waar ) en daar wordt ook wel eens wat vanaf het web in geschreven. Voor het gemak en vooral ook voor de veiligheid heb ik de directory waar in geschreven wordt ge-chowned naar bot:apache. (drie maal raden wat mijn username is dus

) en de directory group writable gemaakt.
Nu kan ikzelf (bot dus) erin rommelen, en php kan erin schrijven. Verder kan niemand (others) er iets mee doen op filesysteem niveau gezien.
PHP let bij het schrijven in die directory ook nog op wat er precies geschreven wordt en zo is het geheel wat veiliger dan wanneer je een chmod 777 doet.

misschien heeft acropia er wat aan.

[ Voor 4% gewijzigd door elTigro op 08-04-2004 20:51 . Reden: typo ]

Lazlo's Chinese Relativity Axiom:No matter how great your triumphs or how tragic your defeats --approximately one billion Chinese couldn't care less.

donderdag 8 april 2004 20:52

Acties:

Acropia

Dunno

Topicstarter

Na wat tips van hier ben ik wat aan het prutsen geweest, en ben er eindelijk uit...

De betreffende dir heeft nu 755 (rwxr-x-r-x)

en ik heb die dir met chown overgezet naar de user 'www' waar Apache onder draait...

achteraf had ik het zelf ook wel kunnen bedenken, maar ik zag door de spreekwoordelijke bomen het spreekwoordelijke bos niet meer

bedankt allemaal!

It's what it is...

donderdag 8 april 2004 20:53

Acties:

LinuX-TUX

BK1 schreef op 08 april 2004 @ 20:46:
Ik dacht dat ie die directory misschien wel in een subdir van zijn site heeft gemaakt. of gewoon in zijn ~acropia/ dir. Dat is vaak dan /home/acropia/public_html . je homedir moet dan ook toegankelijk zijn voor apache. 777 zeg maar.
Zoiets bedoelde ik geloof ik...

711 is al genoeg

BK1 schreef op 08 april 2004 @ 20:35:
[...]

misschien chmod -R ?

Die ontgaat me een beetje ... hij kon de PHP pagina's al zien, dus dan hoord voor het schrijven alleen de eigen directory al genoeg te zijn

BK1 schreef op 08 april 2004 @ 20:50:
ik heb overigens ook een website (joh echt waar? ja echt waar ) en daar wordt ook wel eens wat vanaf het web in geschreven. Voor het gemak en vooral ook voor de veiligheid heb ik de directory waar in geschreven wordt ge-chowned naar bot:apache. (drie maal raden wat mijn username is dus ) en de directory group writable gemaakt.
Nu kan ikzelf (bot dus) erin rommelen, en php kan erin schrijven. Verder kan niemand (others) er iets mee doen op filesysteem niveau gezien.
PHP let bij het schrijven in die directory ook nog op wat er precies geschreven wordt en zo is het geheel wat veiliger dan wanneer je een chmod 777 doet.

misschien heeft acropia er wat aan.

Kom je dus uit op 760

donderdag 8 april 2004 20:53

Acties:

Verwijderd

BK1 schreef op 08 april 2004 @ 20:50:
ik heb overigens ook een website (joh echt waar? ja echt waar ) en daar wordt ook wel eens wat vanaf het web in geschreven. Voor het gemak en vooral ook voor de veiligheid heb ik de directory waar in geschreven wordt ge-chowned naar bot:apache. (drie maal raden wat mijn username is dus ) ....

offtopic:
Ik kan het niet laten: bot:apache?