Apache3 Verzeichnis als Samba-Share

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
degudejung
Beiträge: 8
Registriert: 17.11.2009 19:13:28

Apache3 Verzeichnis als Samba-Share

Beitrag von degudejung » 27.03.2021 14:43:08

Hallo,
ich möchte unter Buster einen kleinen Webserver (Apache2, MariaDB, PHP7, phpmyadmin) zum lokalen Testen von Wordpress-Seiten aufsetzen, bevor ich diese (wieder) auf den echten Webserver hochlade. Das ganze läuft als isolierte VBox VM - aber das dürfte für mein Problem weitgehend irrelevant sein. Der Webserver läuft grundsätzlich und spielt die unter /var/www abgelegten html und php Dateien im lokalen Netzwerk aus.

Nun möchte ich dorthin die (defekte) WP-Installation kopieren und versuchen, diese wieder zum Laufen zu bekommen. Da die WP-Instanz gehackt und vermutlich infiziert wurde, ist Sicherheit ein wichtiges Kriterium. Um einfacher auf die Dateien zugreifen zu können, habe ich /var/www als SMB Share freigegeben und kann mit dem Unix/Samba User administrator auch mit Leseberechtigung darauf zugreifen.

An den Berechtigungen von /var/www habe ich bislang bewusst nicht rumgespielt; www gehört root root, innerhalb /var/www/html/phpmyadmin dann www-data (ist wohl standard):

Code: Alles auswählen

administrator@debian:/var/www$ ls -l
insgesamt 8
drwxr-xr-x 3 root root 4096 Mär 27 09:58 html
drwxr-xr-x 2 root root 4096 Mär 27 11:15 test
und

Code: Alles auswählen

administrator@debian:/var/www/html$ ls -l
insgesamt 20
-rw-r--r--  1 root     root     10701 Mär 22 22:40 index.html
-rw-r--r--  1 root     root        18 Mär 22 22:59 info.php
drwxr-xr-x 13 www-data www-data  4096 Mär 22 23:33 phpmyadmin
Wenn ich mit administrator lokal / per SSH auf der VM arbeite und in /var/www schreiben möchte, nutze ich dazu temporär sudo - klar. Über die SMB-Freigabe geht das aber logischerweise nicht. Was muss ich tun, um auch als SMB-User administrator "remote" schreiben und Verzeichnisse anlegen/löschen zu können? Ich würde gerne einfach nur administrator zusätzlich Schreibrechte geben, ohne an Owner/User und Group selbst etwas zu ändern. Schließlich will ich nicht zuerst das Schreibproblem für administrator lösen, um anschließend zu erkennen, dass dem Webserver nun Rechte fehlen oder zusätzliche Sicherheitslücken entstanden sind. Wie gesagt, ich muss davon ausgehen, dass die defekte Wordpress-Instanz bösartigen php-Code enthält. Ich habe bereits probiert, administrator zu den Gruppen root und www-data hinzuzufügen aber das hat das Problem nicht gelöst.

Dank für einen guten Hinweis oder direkt das richtige Kommando :-)

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: Apache3 Verzeichnis als Samba-Share

Beitrag von habakug » 27.03.2021 21:02:05

Hallo,

du könntest dem [share] in der smb.conf ein

Code: Alles auswählen

admin users = Administrator
hinzufügen.

Gruss, habakug
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

degudejung
Beiträge: 8
Registriert: 17.11.2009 19:13:28

Re: Apache3 Verzeichnis als Samba-Share

Beitrag von degudejung » 28.03.2021 17:53:33

Hallo,
danke für den Tipp.

In der Zwischenzeit habe ich natürlich weiter herumgegoogelt und folgendes ausprobiert:
Add yourself to the www-data group:

Code: Alles auswählen

sudo adduser $USER www-data
Change the ownership of the files in /var/www:

Code: Alles auswählen

sudo chown -R www-data:www-data /var/www
Change the umask, so newly created files by Apache grants write permissions to the group too. Add

Code: Alles auswählen

umask 007
to
/etc/apache2/envvars
.
Grant yourself (technically, the group www-data) write permissions:

Code: Alles auswählen

sudo chmod -R g+w /var/www
Das hat zu einem Ergebnis geführt, das zumindest Schreibzugriff über das SMB-Share ermöglicht, wie ursprünglich erwünscht. Den Security-Faktor kann ich allerdings nicht recht einschätzen, insbesondere was es genau bedeutet, wenn der Apache mit

Code: Alles auswählen

umask 007
schreibt und www-data Gruppe Schreibzugriff auf alle Verzeichnisse unterhalb von /var/www hat.

Ich weiß, das war nicht Deine Empfehlung @Habakuk aber um einzuschätzen, um ich die vorgenannte Strategie nochmal zurückrollen sollte, wäre ich Dir um eine Einschätzung dankbar.

Viele Grüße, degudejung

Antworten