Berechtigungen von /priv /tmp und /conf durch Kunden änderbar

leonex · 21. Juni 2018

Guten Tag,

wir hatten jetzt schon öfters den Fall, dass einige "Spezialisten" seltsame Anleitungen befolgen, wo die nach dem FTP Upload alle Berechtigungen auf 777 setzen sollen. Ist an sich ja schon einmal quatsch und wird dann ja auch durch suexec geblockt.
Was jedoch unschöner ist, dass der Kunde bei LiveConfig Webhostings ebenso die Berechtigungen für /priv /tmp und /conf ändern kann. Gerade im /conf Ordner meinte dann mancher Kunde schon, herumfrickeln zu müssen..
suexec blockt dann die Aufrufe von PHP generell natürlich und man muss das händisch etwas "aufwandreicher" reparieren.

Könnt ihr bei den Installationen dort nicht die immutable Flags setzen zB?

kk · 21. Juni 2018

Zitat von leonex

Was jedoch unschöner ist, dass der Kunde bei LiveConfig Webhostings ebenso die Berechtigungen für /priv /tmp und /conf ändern kann. Gerade im /conf Ordner meinte dann mancher Kunde schon, herumfrickeln zu müssen..

Uh-oh, dann ist da was anderes schief gelaufen. Das Homeverzeichnis des Kunden (/var/www/<Vertrag>) muss root:root gehören (mode 0755). Im conf-Verzeichnis darf er generell gar keine Schreibrechte haben, die PHP-FastCGI-Starter sind mittels Immutable-Flags geschützt.

Bitte legen Sie testweise mal einen neuen Vertrag an und prüfen die Rechte der erstellten Verzeichnisse.

kk · 21. Juni 2018

Auf CentOS 7 sehen die Verzeichnisrechte so aus:

Code

]# ls -al /var/www/web1
total 0
drwxr-xr-x  9 root   root   85 Jun 21 11:35 .
drwxr-xr-x. 5 root   root   42 Jun 21 11:35 ..
drwxr-x---  2 web1   apache  6 Jun 21 11:35 apps
drwxr-x---  4 apache web1   29 Jun 21 11:35 conf
drwxr-x---  3 web1   apache 20 Jun 21 11:36 htdocs
drwxr-x---  3 apache web1   36 Jun 21 11:35 logs
drwxr-x---  2 web1   web1    6 Jun 21 11:35 priv
drwxr-x---  2 apache web1   23 Jun 21 11:35 stats
drwxrwx---  2 web1   apache  6 Jun 21 11:35 tmp

Alles anzeigen

Unter Debian 9:

Code

# ls -al /var/www/web1
total 32
drwxr-xr-x 8 root     root     4096 Jun 21 11:01 .
drwxr-xr-x 9 root     root     4096 Jun 21 11:01 ..
drwxr-x--- 5 www-data web1     4096 Jun 21 11:01 conf
drwxr-x--- 3 web1     www-data 4096 Jun 21 11:01 htdocs
drwxr-x--- 3 www-data web1     4096 Jun 21 11:01 logs
drwxr-x--- 2 web1     web1     4096 Jun 21 11:01 priv
drwxr-x--- 2 www-data web1     4096 Jun 21 11:01 stats
drwxrwx--- 2 web1     www-data 4096 Jun 21 11:01 tmp

leonex · 21. Juni 2018

Hi,

root:root für /var/www/<vertrag> ist korrekt. Die Berechtigungen für priv und tmp sind durch den Benutzer ja änderbar, da er Owner vom Ordner ist => sehe ich kein Problem drin. Beim conf Ordner sieht es anders aus:

root@sp-lc1:/var/www/sp114# lsattr conf
--------------e---- conf/php72
--------------e---- conf/php56
--------------e---- conf/php71
--------------e---- conf/php7
root@sp-lc1:/var/www/sp114# lsattr conf/*
----i---------e---- conf/php56/php.ini
----i---------e---- conf/php7/php.ini
----i---------e---- conf/php71/php.ini
----i---------e---- conf/php72/php.ini

Hier sind nur die Dateien, nicht jedoch die Ordner mit +i gesetzt. Dadurch kann der Benutzer auch die ganzen Ordnerberechtigungen setzen.

kk · 21. Juni 2018

Nein, der Benutzer hat ja keine Schreibberechtigungen in /conf und dessen untergeordneten Verzeichnissen.

Code

$ ls -al conf/
total 20
drwxr-x--- 5 www-data web11 4096 Jun 21 13:56 .
drwxr-xr-x 8 root     root  4096 Jun 21 13:56 ..
dr-xr-xr-x 2 web11    web11 4096 Jun 21 13:57 php5
dr-xr-xr-x 2 web11    web11 4096 Jun 21 13:57 php56
dr-xr-xr-x 2 web11    web11 4096 Jun 21 13:57 php70

leonex · 21. Juni 2018

Er kann nichts löschen, erstellen, verschieben. Aber bestehende Elemente modifizieren / Berechtigungen ändern, wo er der owner ist:

Code

sp118@sp-lc1:~/conf$ ls -ld
drwxr-x--- 6 www-data sp118 4096 Jun 21 14:35 .
sp118@sp-lc1:~/conf$ ls -l
insgesamt 16
dr-xr-xr-x 2 sp118 sp118 4096 Jun 21 14:35 php56
dr-xr-xr-x 2 sp118 sp118 4096 Jun 21 14:35 php7
dr-xr-xr-x 2 sp118 sp118 4096 Jun 21 14:35 php71
dr-xr-xr-x 2 sp118 sp118 4096 Jun 21 14:35 php72
sp118@sp-lc1:~/conf$ chmod 777 php*
sp118@sp-lc1:~/conf$ ls -l
insgesamt 16
drwxrwxrwx 2 sp118 sp118 4096 Jun 21 14:35 php56
drwxrwxrwx 2 sp118 sp118 4096 Jun 21 14:35 php7
drwxrwxrwx 2 sp118 sp118 4096 Jun 21 14:35 php71
drwxrwxrwx 2 sp118 sp118 4096 Jun 21 14:35 php72
sp118@sp-lc1:~/conf$ chmod 777 .
chmod: Beim Setzen der Zugriffsrechte für '.': Die Operation ist nicht erlaubt
sp118@sp-lc1:~/conf$

Alles anzeigen

kk · 21. Juni 2018

Ah, verstehe. Wir werden die unter conf/ untergeordneten Verzeichnisse kurzfristig mit dem Immutable-Flag versehen. Preview-Update kommt in ca. einer Stunde, Release dann voraussichtlich morgen Vormittag. Während des Upgrades werden bestehende Verzeichnisse automatisch mit +i versehen.

php.ini-Dateien kann der Kunde übrigens dennoch nicht bearbeiten (durch +i geschützt), auch wenn er die Schreibrechte für die php*-Verzeichnisse erweitert hat.

leonex · 21. Juni 2018

Top danke!

Jetzt mitmachen!