[Eisfair] wwwrun kein ftp Login

Marcus Röckrath marcus.roeckrath at gmx.de
Sa Okt 7 12:12:45 CEST 2023 

Hallo Detlef,

Detlef Paschke wrote:

> ich habe es noch nicht weiter probiert nach meinen wilden
> Gedankengängen, hätte doch ein neu angelegter User (useradd -M -d
> /var/www/htdocs wwwupload)

Ich würde hier das eisfair-eigene /var/install/bin/add-user vorziehen:

eis:~ # /var/install/bin/add-user --help

 Usage:
 /var/install/bin/add-user
                               - empty for interactive mode
                -d             - disable password
                -l             - lock password
                -r, --system   - create system user

 Example: /var/install/bin/add-user
 Example: /var/install/bin/add-user user '*' '' group real-name home shell
 Example: /var/install/bin/add-user -r user '*' '' group real-name home
shell
 Example: /var/install/bin/add-user user encrypted-password uid group
real-name home shell

Warum?

Es berücksichtigt, welche UIDs schon vergeben sind.

Aufruf wäre beispielsweise (in einer Zeile):

/var/install/bin/add-user wwwupload '' '' wwwrun
'Web-Upload-User' /var/www/htdocs /bin/sh

was einen normalen User ergäbe, mit dem zusätzlichen Schalter -r würde es
ein Systemuser, die sich ja im Bereich der UIDs unterscheiden und damit
auch in der Sichtbarkeit und Verwendung wie z. B. bei Samba.

Ich würde zu einem normalen Usetr tendieren.

Das '' statt '*' hinter dem Usernamen fragt dich dann noch nach dem Passwort
des Users.

> egal in welcher Gruppe er ist, auf das 
> bestehende Verzeichnis gar keine Schreibrechte bzw. nur wenn sie auf
> 2777 stehen? Und wenn ich den "Upload-user" gleich in der Gruppe
> "nogroup" anlege, kann ich mir das SetGID-Bit dann nicht sparen? Die
> Rechte von DOCROOT müssen dann "nur" auf 775 gesetzt werden. Aber mit
> 2755 komme ich irgendwie nicht ans Ziel?

Auf Nelsons-Beitrag schrieb ich schon, dass ich statt setgid es vorziehen
würde, die Rechte des "Homes" auf diesen User mit chown zu modifizieren.

> Oder mit chown auch den Besitzer von DOCROOT ändern? Aber ist das
> Updatefest?

IMHO wird bei bestehendem Verzeichnis beim Apache-Update weder die Rechte
noch das Besitztum zurückgesetzt, jedenfalls ist beim Drüberbügeln der
gleichen Apache-Version keines von beiden nach einer abweichenden
Einstellung wieder zurückgesetzt worden.

Wenn du aus verschiedneen Remote-Quellen den Apachen befüllen lassen
möchtest, z. B. bei Verwendung diverser "Überwachungskameras" kann man mit
obiger Methode auch jeder Kamera ihren eigenen "web-Upload-Ordner":

/var/www/htdocs (Rechte brauchen hier nicht verändert zu werden)
|
|-- Ordner 1 (Besitzer WebUser1)
|
| --Ordner 2 (Besitzer WebUser2)

usw.

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair