Generelle Rechtevergabe im Web-Verzeichnis

[stealthT]

Hallo!

Wie sollte die generelle Rechtevergabe beim Webverzeichnis aussehen? Kann ich ein chmod für das gesamte Webverzeichnis durchführen, um sicher zu gehen, dass Besucher der Webseite keine Änderungen durchführen können?

jahlives hat mir folgendes geraten:

http://www.synology-forum.de/showpost.html?p=49771&postcount=104

Wäre dies nicht sinnvoller:

chmod -R 0755 /volume1/web ???

Was bedeutet der erste Hinweis?

 

[jahlives]

@stealthT
Ich habe die 0770 nur vorgeschlagen, weil mein Webserver auch ab und zu Dateien in dem Verzeichnis anlegen/ändern soll und damit braucht der Webserver auch Schreibrechte.
0755 ginge auch, verhindert jedoch dass der Webserver schreiben darf (zumindest wenn der Webserver nur Gruppenrechte hat). Die letzte 5 ist imho jedoch zu viel: Wieso sollte der Rest der Welt auch Lese/Ausführrechte an den Dateien haben? Nur der Webserver braucht diese. 0755 wäre auf die letzte 5 bezogen imho zu viel Rechte im Verzeichnis.
Ob der Webserver jetzt Schreibrechte haben soll oder nicht, hängt von dir ab. Viele Scripte (z.B. MediaWiki oder Coppermine) legen bei der Installation aber Files (mit Angaben des Users) an und das geht natürlich nicht wenn der Webserver keine Schreibrechte auf das Verzeichnis hat.

 

[stealthT]

Ok. Dann mache ich es so, wie du sagst. Ich will mich nur ausreichend abgesichert wissen, dass kein Besucher meiner Seite irgendwelche Änderungen durchführen kann. Habe allerdings noch nicht so ganz verstanden, was dies hier

chown -R meinUser:nobody /volume1/web

bewirkt. Welchen User muss ich anstelle von "mein User" einsetzen? Wenn ich es so mache, wie du schreibst, bin ich dann gegen unberechtigte Veränderungen abgesichert?

 

[jahlives]

Ok. Dann mache ich es so, wie du sagst. Ich will mich nur ausreichend abgesichert wissen, dass kein Besucher meiner Seite irgendwelche Änderungen durchführen kann. Habe allerdings noch nicht so ganz verstanden, was dies hier

chown -R meinUser:nobody /volume1/web

bewirkt. Welchen User muss ich anstelle von "mein User" einsetzen? Wenn ich es so mache, wie du schreibst, bin ich dann gegen unberechtigte Veränderungen abgesichert?

Wie soll denn ein Besucher Änderunge machen können? Wenn der Webserver gehacked wird bist du eh am A..., dann hast du noch ganz andere Probleme
meinUser steht als Platzhalter für deinen Benutzernamen. Der Vorteil ist wenn du einen deinen User verwendest, dass dieser User diese Dateien in einem Editor unter Windows via die Freigabe problemlos bearbeiten kann.

Absolute Sicherheit gibt es nicht, solange du einen Dienst im Web betreibst. Was dir in dieser Konstellation schlimmstenfalls passieren könnte, wäre dass der Webserver das ganze Verzeichnis löscht (also immer brav backupen). Da der Server aber unter nobody läuft und dieser User praktisch keine Rechte auf sonstige Dateien/Verzeichnisse hat, sind die möglichen Folgen für den Rest des Dateisystems ziemlich gering (auch wenn der Webserver kompromitiert würde)

 

[stealthT]

Ich glaube ich muss mich jetzt mal outen:

Ich bin bislang davon ausgegangen, dass jemand der sich gut auskennt, meine Dateien auf dem Web-Server ändern kann, wenn dort die Schreib- und Leserechte nicht richtig vergeben sind. Dem ist wohl nicht so, wie ich deinem letzten Beitrag entnehme!?? Innerhalb von meinem Netzwerk sehe ich mit den Rechten ohnehin kein Problem, da ich alleiniger User in dem Netzwerk bin. Verstehe ich da jetzt was falsch oder wie ist das mit der Rechtevergabe? Ist jetzt vielleicht ne dumme Frage, aber ich verstehs jetzt irgendwie nicht. Bitte um Nachsicht. Wie gesagt: Ich habe keine vertraulichen Daten im Webverzeichnis, aber rumfuschen soll da natürlich trotzdem keiner.

 

[jahlives]

Also jede Datei/Verzeichnis hat Rechte für den Eigentümer, die Gruppe und für den Rest der Welt. Wenn du jetzt als Eigentümer deinen Benutzer nimmst und als Gruppe nobody (User des Webservers) und nur Rechte auf Eigentümer und Gruppe setzt (z.B. 0770 oder 0750), dann kann auch nur der Eigentümer resp ein Mitglied der Gruppe nobody diese Dateien lesen/schreiben.
Nicht richtig gesetzte Rechte beziehen sich meist darauf, dass auch der ganzen Welt Schreibrechte/Ausführungsrechte gewährt werden (z.B. 0777 oder 0775). Sprich bei gesetztem World Writeable kann ein x-beliebiger User diese Datei ändern, wenn er sich denn z.B. via shell anmelden kann

 

[stealthT]

OK. Dann teste ich nachher mal die Rechtvergabe wie du vorgeschlagen hast. Mal sehen, ob das alles so klappt.... Danke!