Berechtigungen von /priv /tmp und /conf durch Kunden änderbar

    Guten Tag,


    wir hatten jetzt schon öfters den Fall, dass einige "Spezialisten" seltsame Anleitungen befolgen, wo die nach dem FTP Upload alle Berechtigungen auf 777 setzen sollen. Ist an sich ja schon einmal quatsch und wird dann ja auch durch suexec geblockt.
    Was jedoch unschöner ist, dass der Kunde bei LiveConfig Webhostings ebenso die Berechtigungen für /priv /tmp und /conf ändern kann. Gerade im /conf Ordner meinte dann mancher Kunde schon, herumfrickeln zu müssen..
    suexec blockt dann die Aufrufe von PHP generell natürlich und man muss das händisch etwas "aufwandreicher" reparieren.


    Könnt ihr bei den Installationen dort nicht die immutable Flags setzen zB?

    Zitat von leonex

    Was jedoch unschöner ist, dass der Kunde bei LiveConfig Webhostings ebenso die Berechtigungen für /priv /tmp und /conf ändern kann. Gerade im /conf Ordner meinte dann mancher Kunde schon, herumfrickeln zu müssen..


    Uh-oh, dann ist da was anderes schief gelaufen. Das Homeverzeichnis des Kunden (/var/www/<Vertrag>) muss root:root gehören (mode 0755). Im conf-Verzeichnis darf er generell gar keine Schreibrechte haben, die PHP-FastCGI-Starter sind mittels Immutable-Flags geschützt.


    Bitte legen Sie testweise mal einen neuen Vertrag an und prüfen die Rechte der erstellten Verzeichnisse.

    Auf CentOS 7 sehen die Verzeichnisrechte so aus:


    Unter Debian 9:

    Code
    # ls -al /var/www/web1
total 32
drwxr-xr-x 8 root     root     4096 Jun 21 11:01 .
drwxr-xr-x 9 root     root     4096 Jun 21 11:01 ..
drwxr-x--- 5 www-data web1     4096 Jun 21 11:01 conf
drwxr-x--- 3 web1     www-data 4096 Jun 21 11:01 htdocs
drwxr-x--- 3 www-data web1     4096 Jun 21 11:01 logs
drwxr-x--- 2 web1     web1     4096 Jun 21 11:01 priv
drwxr-x--- 2 www-data web1     4096 Jun 21 11:01 stats
drwxrwx--- 2 web1     www-data 4096 Jun 21 11:01 tmp

    Hi,


    root:root für /var/www/<vertrag> ist korrekt. Die Berechtigungen für priv und tmp sind durch den Benutzer ja änderbar, da er Owner vom Ordner ist => sehe ich kein Problem drin. Beim conf Ordner sieht es anders aus:


    root@sp-lc1:/var/www/sp114# lsattr conf
    --------------e---- conf/php72
    --------------e---- conf/php56
    --------------e---- conf/php71
    --------------e---- conf/php7
    root@sp-lc1:/var/www/sp114# lsattr conf/*
    ----i---------e---- conf/php56/php.ini
    ----i---------e---- conf/php7/php.ini
    ----i---------e---- conf/php71/php.ini
    ----i---------e---- conf/php72/php.ini


    Hier sind nur die Dateien, nicht jedoch die Ordner mit +i gesetzt. Dadurch kann der Benutzer auch die ganzen Ordnerberechtigungen setzen.

    Nein, der Benutzer hat ja keine Schreibberechtigungen in /conf und dessen untergeordneten Verzeichnissen.


    Code
    $ ls -al conf/
total 20
drwxr-x--- 5 www-data web11 4096 Jun 21 13:56 .
drwxr-xr-x 8 root     root  4096 Jun 21 13:56 ..
dr-xr-xr-x 2 web11    web11 4096 Jun 21 13:57 php5
dr-xr-xr-x 2 web11    web11 4096 Jun 21 13:57 php56
dr-xr-xr-x 2 web11    web11 4096 Jun 21 13:57 php70

    Er kann nichts löschen, erstellen, verschieben. Aber bestehende Elemente modifizieren / Berechtigungen ändern, wo er der owner ist:


    Ah, verstehe. Wir werden die unter conf/ untergeordneten Verzeichnisse kurzfristig mit dem Immutable-Flag versehen. Preview-Update kommt in ca. einer Stunde, Release dann voraussichtlich morgen Vormittag. Während des Upgrades werden bestehende Verzeichnisse automatisch mit +i versehen.


    php.ini-Dateien kann der Kunde übrigens dennoch nicht bearbeiten (durch +i geschützt), auch wenn er die Schreibrechte für die php*-Verzeichnisse erweitert hat.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden