Forums Neueste Beiträge
 

Probleme mit Benutzerrechten bei einem Webserver mit vielen Usern

14/06/2010 - 16:26 von Peter Mairhofer | Report spam
Hallo!

Ich verstehe irgendwie gerade nicht wie folgendes funktionieren soll:
Auf einem Webserver gibt es mehrere Benutzer und jeder Benutzer hat
einen Webspace.

Weiters gibt es generische Projekte, die einer Gruppe zugeordnet sind,
wo alle Personen in der betreffenden Gruppe schreiben können sollen.

Die eigenen Webspace möchte ich natürlich nicht sperrangelweit offen
lassen, deswegen möchte dass jeweils der Benutzer der Owner ist und
www-data die Gruppe. Dann 750 für Verzeichnisse und 640 für Dateien.

Logischerweise möchte ich nicht die Primary Group eines Benutzers auf
www-data setzen.

Nun gut, User will Verzeichnis in seinem Webspace anlegen:

user1@www:~/pub_html$ mkdir test
user1@www:~/pub_html$ chmod 750 test
user1@www:~/pub_html$ ls -l
[...]
drwxr-x 2 user1 users 4096 14. Jun 18:19 test

Und jetzt:

user1@www:~/pub_html$ chgrp www-data test
chgrp: Ändern der Gruppe für „test“: Die Operation ist nicht erlaubt

Hat es einen Grund wieso der Besitzer der eigenen Datei die Gruppe nicht
auf www-data àndern darf?

Abgesehen davon, dass ohnehin sehr làstig ist dass auf diese Art und
Weise gleich alle Dateien innerhalb des Webroots mit Gruppe "user" statt
"www-data" erzeugt werden: Wie umgeht man das Problem grundsàtzlich?

Noch problematischer ist es, wenn ich in z.B. /srv/www/projekt1 ein
Projekt habe dass nur von der Gruppe dev bearbeitet werden soll.

Wie bringe ich das dem System bei und zwar so, dass der Webserver (und
nur der) auch noch davon lesen darf?

LG
Peter
 

Lesen sie die antworten

#1 Friedemann Stoyan
14/06/2010 - 16:42 | Warnen spam
Peter Mairhofer wrote:
Hallo!

Abgesehen davon, dass ohnehin sehr làstig ist dass auf diese Art und
Weise gleich alle Dateien innerhalb des Webroots mit Gruppe "user" statt
"www-data" erzeugt werden: Wie umgeht man das Problem grundsàtzlich?

Noch problematischer ist es, wenn ich in z.B. /srv/www/projekt1 ein
Projekt habe dass nur von der Gruppe dev bearbeitet werden soll.

Wie bringe ich das dem System bei und zwar so, dass der Webserver (und
nur der) auch noch davon lesen darf?



Ich würde es mit ACLs versuchen:

User permitten:
setfacl -m user:www-data:r-x /directory

User hat ebenfall Rechte an neuen Files:
setfacl -m default:user:www-data:r-- /directory

User für bestehende Files permitten:
setfacl -m user:www-data:r-- /directory/*

mfg Friedemann

Ähnliche fragen