Rechte: www-data oder root in /var/www

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Rechte: www-data oder root in /var/www

Beitrag von weshalb » 29.04.2017 13:43:06

Ich beschäftige mich derzeit mit der Absicherung von meinen Webapplikationen und stoße in vielen Howtos auf solche oder ähnliche Konstellationen:
chmod -R o-rwx /var/www/ordner
chown -R :www-data /var/www/ordner
chown www-data:www-data /var/www/ordner/config/conf.php
Im Fall von Horde muss ich beipielsweise diese Rechte vergeben, dass man bei Änderungen über das Webfrontend schreiben kann. Wäre es nicht sicherer, alles auf Root zu lassen und die entsprechenden Konfigurationen nur im Terminal zu ändern?
Nach oben
DeletedUserReAsG

Re: Rechte: www-data oder root in /var/www

Beitrag von DeletedUserReAsG » 29.04.2017 14:34:29

Hmm … meine Ansicht ist, dass es sicherer wäre, solche Sachen unter jeweils einem eigenen (entsprechend eingeschränkten) User laufen zu lassen, und dem dann auch nur Schreibrechte auf Files/Verzeichnisse zu geben, welche von dem Programm regulär beschrieben werden. Davon, Files unterhalb des DocRoot root zu geben, halte ich eher wenig.
Nach oben
thoerb
Beiträge: 1677
Registriert: 01.08.2012 15:34:53
Lizenz eigener Beiträge: MIT Lizenz

Re: Rechte: www-data oder root in /var/www

Beitrag von thoerb » 29.04.2017 15:55:02

weshalb hat geschrieben: Im Fall von Horde muss ich beipielsweise diese Rechte vergeben, dass man bei Änderungen über das Webfrontend schreiben kann. Wäre es nicht sicherer, alles auf Root zu lassen und die entsprechenden Konfigurationen nur im Terminal zu ändern?
Wenn man selbst Webseiten oder Webapplikationen entwickelt, könnte man das ja dann nur als Root auf dem entsprechenden Server machen. Oder man müsste per SSH, Root-Anmeldung erlauben um die Dateien hochladen zu können. Ich würde das auch so machen, wie es niemand vorgeschlagen hat.

Ich hatte das schon mal so gemacht, dann musste ich die Daten als User hochladen, habe mich dann als Root angemeldet und musste den Kram dann an die entsprechende Stelle kopieren und wieder die Rechte ändern. Das ist total umständlich und fehleranfällig.
Nach oben
Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Rechte: www-data oder root in /var/www

Beitrag von weshalb » 01.05.2017 00:18:30

niemand hat geschrieben:Hmm … meine Ansicht ist, dass es sicherer wäre, solche Sachen unter jeweils einem eigenen (entsprechend eingeschränkten) User laufen zu lassen, und dem dann auch nur Schreibrechte auf Files/Verzeichnisse zu geben, welche von dem Programm regulär beschrieben werden. Davon, Files unterhalb des DocRoot root zu geben, halte ich eher wenig.
OK Danke, das klingt plausibel. Also erstelle ich pro Webapplikation einen User und werde die Konfigs bei entsprechenden Programmen weiterhin über das Terminal bearbeiten.
Nach oben
Antworten

Zurück zu „Sicherheit“