Apache2 ja oikeudet

[Joonas Häkkinen 0]

Tämä ei kyllä niinkään laitteistoon liity, mutta tietokoneisiin kumminkin..

 

Tosiaan, on päässyt syntymään mielenkiintoinen ongelma Red Hat 9 -serverillä, jossa pyörii mm. Apache 2. VirtualHostia käyttelen eri käyttäjien sivujen näyttämiseen, ja tottakai haluaisin estää käyttäjiä katselemasta toistensa tiedostoja. Joissain tapauksissa toimii ja joissain ei.

 

Otetaan käyttäjät sarment ja server esimerkiksi. Näiden kotihakemistot ovat /home/users/s/[sarment|server]. Molemmissa hakemistoissa on public_html-kansiot, joissa sivujen sorsia pidetään.

 

Molemmilla käyttäjillä oikeudet (öö.. eng. permissions) ovat 711 kotihakemistolle ja 710 public_html-kansiolle.

 

Ja nyt alkavat ihmeet tapahtua. Molempien sivut on laitettu samalla tavalla VirtualHostiin. Homma toimii sarmentilla, mutta käyttäjän server sivua pyytäessä tulee takaisin 403 Forbidden.

 

Osaatteko sanoa tähän jotain? ???

 

[Esa Lehtismäki 0]

Enpä oo noita virtualhosteja tehnyt, enkä muutenkaan pitkään aikaan joutunut webbiserveriä konffaamaan, mutta eikös ryhmällä ole pakko olla r ja x, että Apache pääsee sivuihin käsiksi? Siis 751 ja 750. Taitaisi saada paremminkin FTP-serverin määrityksillä estettyä käyttäjiä näkemästä toistensa kotihakemistoja. En ole tuommoisia itse tarvinnut, mutta tuon verran nyt mieleen tuli

[Joonas Häkkinen 0]

Enpä oo noita virtualhosteja tehnyt, enkä muutenkaan pitkään aikaan joutunut webbiserveriä konffaamaan, mutta eikös ryhmällä ole pakko olla r ja x, että Apache pääsee sivuihin käsiksi? Siis 751 ja 750. Taitaisi saada paremminkin FTP-serverin määrityksillä estettyä käyttäjiä näkemästä toistensa kotihakemistoja. En ole tuommoisia itse tarvinnut, mutta tuon verran nyt mieleen tuli

 

Kyllä tuo pelkällä äksällä näyttäis toimivan.. Ja puhutaan others-kohdasta, koska Apache ei ole mulla käyttäjien omien primääriryhmien jäsenenä (eikös tämä auttaisi selvän tietoturvaongelman, kun esim. PHPeen kautta pystyisi käyttämään Apachea ja sen oikeuksia käyttäjien ryhmissä tiedostojen tonkimiseen?).

 

FTP:llä rajoittaminen ei tule kysymykseen kahdestakaan syystä. 1) Haluan antaa käyttäjille mahdollisuuden käyttää shelliä, ja 2) FTP on kuulemma niin reikäinen, että en halua sitä riesakseni tuohon.

 

Hyviä ehdotuksia kuitenkin, kiitos!

 

[Esa Lehtismäki 0]

Kyllä minusta käyttäjien tarvitsee olla Apache-ryhmässä. Ja Apachen systeemitiedostoihinhan ei tietenkään ole ryhmällä kirjoitusoikeutta. Apache tarvitsee lukuoikeuden niihin tiedostoihin, joita webin kautta pitää pystyä lukemaan. Othersin kautta en lähtisi oikeuksia määrittelemään.

 

Jos kansiolla on pelkkä x, ja tiedostot sen alla perivät oikeudet emoltaan, niin silloinhan uudet tiedostot eivät ole oletuksena Apachen luettavissa, eikö? Voin olla väärässäkin, mutta noin minä asian ymmärtäisin (en nyt kokeillut kumminkaan).

 

Niin siis käyttäjät eivät siirrä tiedostojaan palvelimelle FTP:llä? Siellä on siis pelkkä sshd? Joo, no sitten... Hmm, pystyyköhän shellidemoniin määrittelemään noita käyttöoikeuksia tai rajoituksia? Sitä ainakin tutkisin. En tosiaan ole tuommoisia tehnyt, kun mun servereillä ei ole ulkopuolisia käyttäjiä. En siis valista kokemuksen syvällä rintaäänellä, koitan vaan tarjota näkökulmaa kun ei gurujakaan näy olevan