[php] unlinken files, maar die zijn root/root - Linux en overige clients

zondag 25 april 2004 23:53

Acties:

root@birdie:~#

Topicstarter

ik zit met een probleempje (doh

anders opende ik ge topic)

ik ben bezig om een filemanager te schrijven in php, waar ik mijn files mee kan uploaden, deleten etc.
nu werk ik thuis op die bak onder root. Lekker makkelijk en ik weet wat ik doe, ik denk na voordat ik een command geef.

als root maak ik ook wel eens files aan in m`n www. logisch. Deze worden ook netjes uitgelezen door apache.

nu wil ik met unlink files weghalen. Dit mag alleen niet, omdat apache onder www-data draait. Ik heb nu een paar keuzes.
• sudo draaien en php deze aan laten spreken
• apache onder root laten draaien

ik vroeg mij af of ik ook op een of andere manier toch mijn root files kan verwijderen... sudo kan, maar is redelijk traag...

20*375Wp met Enphase IQ7+ micro's | Stiebel Eltron HGE Water/Water WP 9kW | Tesla M3, powered by SmartEVSE | Servertje @ www.coloclue.net

zondag 25 april 2004 23:55

Acties:

chris

Wil je je hele systeem kunnen beheren via php? Of alleen een bepaalde directory?

Ook zou ik eens aan veiligheid denken. Ook bij bijvoorbeeld je huidige directory-script

[ Voor 59% gewijzigd door chris op 26-04-2004 00:01 ]

zondag 25 april 2004 23:57

Acties:

Erkens

Fotograaf

"chown -R www-data /var/www"

maandag 26 april 2004 00:08

Acties:

decramy

root@birdie:~#

Topicstarter

chris schreef op 25 april 2004 @ 23:55:
Wil je je hele systeem kunnen beheren via php? Of alleen een bepaalde directory?

Ook zou ik eens aan veiligheid denken. Ook bij bijvoorbeeld je huidige directory-script

whehe die ja, ik wil er een login op maken, dat ik alleen die files kan verwijderen....

Erkens schreef op 25 april 2004 @ 23:57:
"chown -R www-data /var/www"

en als ik weer een file aanmaak met root, moet ik weer chown doen... geen zin in

kan ik wel zoiets maken van 'als ik file maak in /var/www, maak m dan met groepje www-data'

20*375Wp met Enphase IQ7+ micro's | Stiebel Eltron HGE Water/Water WP 9kW | Tesla M3, powered by SmartEVSE | Servertje @ www.coloclue.net

maandag 26 april 2004 00:55

Acties:

Soultaker

Jawel, dat kan wel, al hangt dat een beetje van je besturingssysteem af.

Onder FreeBSD werkt het zo, dat een bestand de groep van de directory krijgt indien de gebruiker die het bestand aanmaakt ook in deze groep zit. In jouw situatie betekent dit dat het bestand de groep 'www-data' krijgt als /var/www van de groep 'www-data' is én als je root aan deze groep hebt toegevoegd. Met een beetje mazzel werkt dat onder jouw besturingssysteem (Linux

) ook zo.

Overigens moet je ervoor zorgen dat de bestanden die je aanmaakt ook group writeable zijn, anders kun je er nog niets mee. Dit kun je doen met 'umask 2'; door dit in je .shrc/.cshrc/.bashrc te zetten kun je voorkomen dat je dat steeds opnieuw moet intypen.

[ Voor 9% gewijzigd door Soultaker op 26-04-2004 00:56 ]

maandag 26 april 2004 06:18

Acties:

decramy

root@birdie:~#

Topicstarter

Soultaker schreef op 26 april 2004 @ 00:55:
Jawel, dat kan wel, al hangt dat een beetje van je besturingssysteem af.

Onder FreeBSD werkt het zo, dat een bestand de groep van de directory krijgt indien de gebruiker die het bestand aanmaakt ook in deze groep zit. In jouw situatie betekent dit dat het bestand de groep 'www-data' krijgt als /var/www van de groep 'www-data' is én als je root aan deze groep hebt toegevoegd. Met een beetje mazzel werkt dat onder jouw besturingssysteem (Linux ) ook zo.

helaas niet...

ik heb 'usermod -G www-data,root root' gedaan, 'chgrp -R www-data /var/www' en 'touch /var/www/decramy.net/bla' en die was vrolijk root/root

Overigens moet je ervoor zorgen dat de bestanden die je aanmaakt ook group writeable zijn, anders kun je er nog niets mee. Dit kun je doen met 'umask 2'; door dit in je .shrc/.cshrc/.bashrc te zetten kun je voorkomen dat je dat steeds opnieuw moet intypen.

een umask in je .bashrc

moet je de umask steeds weer instellen?

en al zou ik umask gebruiken, hoe zou ik deze dan zetten? 'umask 020'?

20*375Wp met Enphase IQ7+ micro's | Stiebel Eltron HGE Water/Water WP 9kW | Tesla M3, powered by SmartEVSE | Servertje @ www.coloclue.net

maandag 26 april 2004 09:07

Acties:

Grijze Vos

een ranzige oplossing:

"chown -R www-data /var/www" toevoegen aan je crontab, instellen op elk uur ofzo.

(Das voor de luie mensen onder ons.

Verder zou ik toch een eigen account aanmaken, en alleen onder root klooien als dat nodig is. Mja, als je dat niet nodig vindt, have it your way.

Op zoek naar een nieuwe collega, .NET webdev, voornamelijk productontwikkeling. DM voor meer info

maandag 26 april 2004 09:11

Acties:

Shadowman

Als de directory op de user www-data staat is het mogelijk voor php om bestanden in die directory te verwijderen. Ook al staan die bestanden onder de gebruiker root.

(Heb het net wel ff getest

)

maandag 26 april 2004 09:30

Acties:

moto-moi

Ja, ik haat jou ook :w

Wat heeft dit met php te maken ? -->Non-Windows Operating Systems

God, root, what is difference? | Talga Vassternich | IBM zuigt

maandag 26 april 2004 09:42

Acties:

pierre-oord

Shadowman schreef op 26 april 2004 @ 09:11:
Als de directory op de user www-data staat is het mogelijk voor php om bestanden in die directory te verwijderen. Ook al staan die bestanden onder de gebruiker root.

(Heb het net wel ff getest )

Nooit getest, maar lijkt me sterk, m'n FTP software werkt ook niet.

OT:
Je kunt het beste gewoon een normale user account aanmaken, en daaronder werken. Daarna installeer je SUDO (als je dat nog niet hebt) en pas je het configurate bestand aan zodat de gebruiker die je hebt aangemaakt root dingen mag uitvoeren, ieder commando.

Log je daarna in als die gebruiker, en alles wat je als root wilt doen, daar typ je voor "sudo". Er wordt dan niet meer gevraagd (als je dat zo in je config bestand het ingesteld) om een wachtwoord, en het commando wordt uitgevoerd.

Dus voor al je "make install " en "rm -rf /" commando's moet je er even sudo voor typen

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

maandag 26 april 2004 09:50

Acties:

Jelmer

decramy schreef op 26 april 2004 @ 06:18:
[...]

helaas niet... ik heb 'usermod -G www-data,root root' gedaan, 'chgrp -R www-data /var/www' en 'touch /var/www/decramy.net/bla' en die was vrolijk root/root

Wel eerst opnieuw ingelogd nadat je root aan de groep had toegevoegd?

maandag 26 april 2004 20:02

Acties:

decramy

root@birdie:~#

Topicstarter

Jelmer schreef op 26 april 2004 @ 09:50:
[...]

Wel eerst opnieuw ingelogd nadat je root aan de groep had toegevoegd?

ja, maar had geen effect

20*375Wp met Enphase IQ7+ micro's | Stiebel Eltron HGE Water/Water WP 9kW | Tesla M3, powered by SmartEVSE | Servertje @ www.coloclue.net

maandag 26 april 2004 20:42

Acties:

Erkens

Fotograaf

pierre-oord schreef op 26 april 2004 @ 09:42:
[...]

Nooit getest, maar lijkt me sterk, m'n FTP software werkt ook niet.

FTP is dan ook natuurlijk weer heel iets anders

code:

michael@cervix:~/got/test$ ls -al
total 8
drwxr-xr-x    2 michael  users        4096 Apr 26 20:38 ./
drwxr-xr-x    3 michael  users        4096 Apr 26 20:38 ../
michael@cervix:~/got/test$ sudo touch blaat
Password:
michael@cervix:~/got/test$ ls -l
total 0
-rw-r--r--    1 root     root            0 Apr 26 20:39 blaat
michael@cervix:~/got/test$ rm -f blaat
michael@cervix:~/got/test$ ls -l
total 0
michael@cervix:~/got/test$

maandag 26 april 2004 21:33

Acties:

Wilke

decramy schreef op 25 april 2004 @ 23:53:
nu werk ik thuis op die bak onder root. [..] ik weet wat ik doe.

Deze twee opmerkingen op 1 regel gaan niet samen. Er is geen enkele reden waarom je voor 'gewone' user-dingen als het schrijven van een pagina in PHP als root zou moeten inloggen. Er is al vaak en uitgebreid in NOS betoogd waarom je dat niet zou moeten doen dus ik zal je niet vervelen met een herhaling (misschien kan iemand een linkje naar zo'n draad vinden - is mij niet 1-2-3 gelukt en ik moet nu weg).

maandag 26 april 2004 21:45

Acties:

Shadowman

[rml][ IMAPd] Remote inloggen als root[/rml]
alsjeblieft

.

* Heb wel is een leraar gevraagd of hij het commando adduser kende

*

dinsdag 27 april 2004 00:02

Acties:

Confusion

Fallen from grace

decramy schreef op 26 april 2004 @ 00:08:
en als ik weer een file aanmaak met root, moet ik weer chown doen... geen zin in

Geen files aanmaken met root in /var/www, maar even su-en naar een andere user. Een of ander programma de rechten geven aan root files te zitten is gewoon een onnodig veiligheidsrisico.

Eventueel kan je het setgid bit van de bovenliggende directories zetten, maar zoals gezegd: ik zou gewoon ophouden met dat ongebruikelijke rootgebruik.

[ Voor 18% gewijzigd door Confusion op 27-04-2004 00:03 ]

Wie trösten wir uns, die Mörder aller Mörder?