[Eisfair] kein ftp-Zugriff mehr

Detlef Paschke schabau at t-online.de
Di Okt 17 21:32:03 CEST 2023 

Am 17.10.2023 um 20:52 schrieb Marcus Röckrath:
> Hallo Detlef,

Hallo Markus,

> Detlef Paschke wrote:
> 
>> das ist doch eine Recht elegante Methode um das schon einige Zeit
>> grassierende Problem zu beheben. Die Rechte von /var/www/htdocs können
>> bleiben wie sie sind oder muss auch das SetGID-Bit gesetzt werden?
> 
> Der neu angelegte User muss natürlich Schreibrecht in den gewünschten
> Zweigen des ApacheDocRoot bekommen.
> 
> Da nach der in diesem Thread von Holger vorgeschlagenen Methode, den neuen
> User auch in dir Gorup nogroup zu setzen, müsste nun mittels chmod nogroup
> Schreibrechte gegeben werden, z. B.

das hatte ich überlesen. Dann ist das SetGID-Bit natürlich hinfällig.

> chmod -r g+w /var/www/htdocs
> 
> falls die nicht sowieso schon gesetzt sind. setgid wird nicht gesetzt.

Ist es dann aber nicht Sinnvoller, auf das rekursive zu verzichten und
nur das Verzeichnis /var/www/htdocs auf 0775 zu setzen und wie
geschrieben, alles noch mal neu als neuer Uploaduser zu übertragen?

>> Und der Vollständigkeit halber ist es sicher sinnvoll, im Fall das man
>> bereits einen aktiven Apache betreibt, alle Inhalte aus /var/www/htdocs
>> zunächst löschen und als der "neue Uploaduser" wieder zu übertragen.
>> Sonst hat man wieder keine Schreibrechte auf die Inhalte, die noch von
>> wwwrun übertragen wurden.
> 
> Nein, denn wenn oben die Schreibrechte für nogroup gesetzt werden, kann der
> neue User sowohl neue Dateien anlegfen, als auch bestehende Dateien
> überschreiben.

In dem Fall vergebe ich aber ein Haufen unnötige Schreibrechte auf die
vorhandenen Inhalte von /var/www/htdocs. Auf die Inhalte braucht doch
jetzt nur noch der Uploaduser Schreibrechte. Es ging ja darum, wwwrun
möglichst einzuschränken. Inhalte mit 644 die "wwwupload" gehören, kann
wwwrun doch auch verarbeiten aber nicht verändern. Die Gruppe nogroup
braucht doch keine Schreibrechte.?

Viele Grüße
Detlef Paschke

-- 
Das "Zitat des Augenblick" gibt es nur auf:
https://schabau.eu

Meine "Merkzettel" findet man unter:
https://helpdesk.schabau.eu

Mehr Informationen über die Mailingliste Eisfair