Im Fall von Horde muss ich beipielsweise diese Rechte vergeben, dass man bei Änderungen über das Webfrontend schreiben kann. Wäre es nicht sicherer, alles auf Root zu lassen und die entsprechenden Konfigurationen nur im Terminal zu ändern?chmod -R o-rwx /var/www/ordner
chown -R :www-data /var/www/ordner
chown www-data:www-data /var/www/ordner/config/conf.php
Rechte: www-data oder root in /var/www
Rechte: www-data oder root in /var/www
Ich beschäftige mich derzeit mit der Absicherung von meinen Webapplikationen und stoße in vielen Howtos auf solche oder ähnliche Konstellationen:
Re: Rechte: www-data oder root in /var/www
Hmm … meine Ansicht ist, dass es sicherer wäre, solche Sachen unter jeweils einem eigenen (entsprechend eingeschränkten) User laufen zu lassen, und dem dann auch nur Schreibrechte auf Files/Verzeichnisse zu geben, welche von dem Programm regulär beschrieben werden. Davon, Files unterhalb des DocRoot root zu geben, halte ich eher wenig.
Re: Rechte: www-data oder root in /var/www
Wenn man selbst Webseiten oder Webapplikationen entwickelt, könnte man das ja dann nur als Root auf dem entsprechenden Server machen. Oder man müsste per SSH, Root-Anmeldung erlauben um die Dateien hochladen zu können. Ich würde das auch so machen, wie es niemand vorgeschlagen hat.weshalb hat geschrieben: Im Fall von Horde muss ich beipielsweise diese Rechte vergeben, dass man bei Änderungen über das Webfrontend schreiben kann. Wäre es nicht sicherer, alles auf Root zu lassen und die entsprechenden Konfigurationen nur im Terminal zu ändern?
Ich hatte das schon mal so gemacht, dann musste ich die Daten als User hochladen, habe mich dann als Root angemeldet und musste den Kram dann an die entsprechende Stelle kopieren und wieder die Rechte ändern. Das ist total umständlich und fehleranfällig.
Re: Rechte: www-data oder root in /var/www
OK Danke, das klingt plausibel. Also erstelle ich pro Webapplikation einen User und werde die Konfigs bei entsprechenden Programmen weiterhin über das Terminal bearbeiten.niemand hat geschrieben:Hmm … meine Ansicht ist, dass es sicherer wäre, solche Sachen unter jeweils einem eigenen (entsprechend eingeschränkten) User laufen zu lassen, und dem dann auch nur Schreibrechte auf Files/Verzeichnisse zu geben, welche von dem Programm regulär beschrieben werden. Davon, Files unterhalb des DocRoot root zu geben, halte ich eher wenig.