[Eisfair] Sane & phpSane Verständnisproblem

Marko Lueke marko16101975 at gmx.de
Di Jan 24 14:07:11 CET 2012 

Hallo Thomas,

Am 23.01.2012 04:31, schrieb Thomas L. Kienemund:
> Am 21.01.2012 23:15, schrieb Marko Lueke:
>> nur wie ist das gemeint?
>> z.B.: Stellen Sie sicher, dass Ihr Apache Benutzer scanimage verwenden
>> kann und Schreibrechte fuer das phpSANE tmp Verzeichnis hat.
>
> Hallo Marko,
>
> Verwendest Du den Webserver auch für Webseiten, um z.B. über's Internet
> auf Deinen eis zugreifen zu können (z.B. Webmail)?

den verwende ich auch für webseiten, ja

>
> Scanimage ist bei mir auf den Benutzer root und der Gruppe root gesetzt
> und der Webserver verwendet den Benutzer wwwrun in der Gruppe users.
> D.h. der Webserver hat keinen Zugriff auf Dateien, die sich in einer
> anderen Gruppe als der users-Gruppe befinden und das ist auch gut so, da
> dies ein Sicherheitsrisiko darstellen würde, wenn dem nicht so wäre.
>
> Den wwwrun-Benutzer jetzt einfach in die root-Gruppe umziehen zu lassen
> wäre also nicht ratsam, wenn der Webserver auch von außen erreichbar
> ist. Was man machen könnte, wäre sudo benutzen, allerdingt musst Du
> dafür die Datei /etc/sudoers editieren und das wäre insgesamt genauso
> unsicher, da der wwwrun-Benutzer so auch alle anderen Dateien der Gruppe
> root verwenden könnte.
>
> Die Lösung wäre, den phpSANE auf einem eigenständigen Webserver (auf
> einem anderen Port) laufen zu lassen. Ich verwende noch einen eisfair-1
> Server und habe hier das Paket Mini_HTTPD laufen, der über cgi-Skripte
> auch systemnah arbeiten kann. Falls es das Paket unter eisfair-2 noch
> gibt, würde ich damit weiter machen, weil der Server nur lokal läuft und
> damit das Sicherheitsrisiko deutlich geringer ausfällt.

meine Systeme laufen auf EisXen, habe extra eine Scanner DomU, da wäre 
das dann also kein Probelm zwecks webserver+anderen port und root zu 
wwwrun hinzuzufügen, läuft ja dann nur das phpSANE, mehr nich.

ich hatte jetzt meinen Namen zur Scannergruppe hinzugefügt und so hin 
und her probiert ohne Erfolg, auch nicht das ändern von Benutzer und 
Gruppe von der Datei /dev/bus/usb/002/002 hat was gebracht, mal davon ab 
das diese nach einem Neustart wieder auf root:root steht, dann hab ich 
was gelesen von udev regeln, nur da wo die sein sollten, jedenfals ist 
bei mir nix unter /etc/udev/rules.d ,löl, nun fummle ich da schon 
wochenlang dran rum, einfach ist anders ;-)

>
>> Problem, die phpSANE Seite läst sich aufrufen, beim Scannen oder
>> Vorschau wird auch eine Datei im tmp angelegt mit einer Größe von 0, ich
>> gehe mal davon aus das der Apache Benutzer scanimage nicht benutzt?!?
>> Ich hab absulut kein Plan wie das gemeint ist.
>
> Das lässt darauf schließen, dass wwwrun beim Aufruf von scanimage eine
> Fehlermeldung erhält (keine Zugriffsrechte), abbricht und keine Daten
> geschrieben werden (= Datei leer).

wie Krieg ich das hin? muß ich dazu die /etc/xinetd.d/sane ändern

port = 6566
     socket_type = stream
     server = /usr/sbin/saned
     user = root
     group = root
     wait = no

zu:
port = 6566
     socket_type = stream
     server = /usr/sbin/saned
     user = root
     group = wwwrun
     wait = no

?
>
> Gruß
>
> Thomas
Danke
Gruß, Marko

Mehr Informationen über die Mailingliste Eisfair