Chmod

[blupp1]

Morgen,


Es gibt User A und User B.
Wenn ich beide User in eine extra angelegte Gruppe packe, hat dan User B auf Alles zugriff worauf User A zugriff hat (also nicht die Gruppe!)?
Bzw. ist das unsicher?

Möchte einen normalen User mit www-data in eine Gruppe packen (aufgrund der schreibrechte).

Christopher

 

[Armadillo]

Hi,

das kommt ganz drauf an, welche Rechte du der Datei mit chmod gibst. Die Dateirechte sind ja dreigeteilt. es gibt 9 Stellen (die 10. bzw. vorderste lassen wir mal außen vor). Die ersten 3 bestimmen was der Besitzer (Owner) der Datei damit machen darf. Die zweiten 3 Stellen bestimmen, was die Gruppe die du mit chown zuweißt damit machen darf und die letzten 3, was der Rest der Welt damit machen darf.

DateiRechte - LinuxWiki.org - Linux Wiki und Freie Software (Gruppenbenutzung wird da sogar explizit erklärt )

Folglich musst du die letzten 3 und die zweiten 3 Stellen richtig setzen, um User B nur Teilrechte auf die Datei von User A zu gewähren.

 

[blupp1]

Ja.

Aber nur weil User B auch in der Gruppe ist, heißt das nicht, dass dieser gleich Zugirff auf alle daten von User A hat oder?

 

[Armadillo]

Das kommt dann auf sämtliche Rechte aller Daten von User A an. Wenn dort entsprechende Nutzerrechte für die Gruppe gesetzt sind, hat User B auch Zugriff auf die entsprechenden Dateien. Du müsstest also überprüfen, ob die Rechte bei allen Dateien von User A richtig gesetzt sind.
Das gilt alles natürlich nur, wenn User B in der Gruppe ist, die den Dateien zugeordnet ist. Um Überschneidungen zu verhindern, würde ich dir raten einfach eine neue Gruppe anzulegen (wie du das ja oben schon selber erwähnt hast), dann musst du auch nicht alle Dateien überprüfen. Dann musst du nur User A und User B hineinstecken und kannst neue Dateien mit dieser Gruppe versehen, wenn beide diese brauchen. User B hat dann keinen Zugriff auf die Dateien von User A, die mit einer anderen Gruppe versehen sind.

 

[blupp1]

OK, aber wenn User A eine Datei z.B. in Home erstellt, ist dann gleich die neue Gruppe "owner" von der neuen Datei?

 

[Armadillo]

Die neue Datei erhält immer die Gruppenrechte der Standardgruppe, die in der /etc/passwd für den entsprechenden User eingestellt ist. Wenn du dort die Group-ID von der alten auf die neue Gruppe änderst, sollte User A neue Dateien immer mit der gemeinsamen Gruppe von User B schreiben.

mail:x:8:8:mail:/var/mail:/bin/sh

Die erste Zahl ist die uid, die zwiete die default-gid.

 

[elias5000]

Möchte einen normalen User mit www-data in eine Gruppe packen (aufgrund der schreibrechte).

Warum? Bitte schildere genau dein konkretes Problem welches du damit zu lösen glaubst. (-v)

 

[blupp1]

Ich verbinde mich mit SCP, kann daher aber nicht mit su auf root wechseln bzw. auf www-data, daher hat der normale User keinen zugriff auf die www Files.

 

[elias5000]

Ich verbinde mich mit SCP, kann daher aber nicht mit su auf root wechseln bzw. auf www-data, daher hat der normale User keinen zugriff auf die www Files.

Welche. Bitte beschreibe genau, was für Files das sind, wer die angelegt hat oder woher die kommen u.s.w.
Ich hatte doch geschrieben "genau" - also bitte in voller Ausführlichkeit. Sonst kann dir keiner helfen.

Dem User die Gruppe www-data zu geben ist eher nicht, was du willst.

 

[Armadillo]

Er hat doch geschrieben, dass er ne extra Gruppe anlegen will... Siehe Startpost.

 

[elias5000]

Das ist ja schon Teil der Lösung, die er sich ausgedacht hat. Das ist nicht das Problem, das er damit lösen will.

Wenn jemand aber nicht das eigentliche Problem beschreibt, dann kann ihm auch nicht damit geholfen werden. Evtl. ist die Lösung ja total einfach - aber keiner kommt drauf, weil alle nur an der (vermeintlichen) Lösung herumpfriemeln.

elias5000,
der den Ball hiermit wieder blupp1 zuspielt.

 

[Armadillo]

Ich bin einfach davon ausgegangen, dass es eine allgemeine Frage ist, so war der erste Post schließlich auch gestellt. Man muss nicht immer ein Problem haben, um etwas zu fragen.

Im Prinzip hat er sein Problem aber schon beschrieben. Wenn er mit WinSCP o.ä. auf den Server geht sieht er mit nem normalen user keine www-files, weil er root gesperrt hat und nur noch mit sudo Zugriff darauf hat, welches per scp nciht funktioniert. Aber er möchte trotzdem auf die www-files zugreifen, das geht indem er z.B. eine Zusatzgruppe anlegt und die Rechte entsprechend verteilt.

Problem gelöst.

 

[elias5000]

Auch mal ne allgemeine Frage: Was sind www-Files?

Ich denke schon, dass er ein konkretes Problem lösen will. Aber das sollte blupp1 doch lieber selber beantworten.
Ich könnte mir vorstellen, dass er per SCP mit seinem User auf Dateien zugreifen will, die der Apache geschrieben hat. Aber ich habe aufgehört, mir Dinge vorzustellen und frage lieber nach.

Wenn es kein konkretes Problem gab, ist die Frage ja hinreichend beantwortet. Und wenn doch, dann ist das nächste Posting hoffentlich von blupp1. (Der letzte Satz ist auch für alle, die nicht blupp1 sind... )

 

[blupp1]

Mein Problem wurde von Armadillo in Post 12 beschrieben.

www-files sind mMn alle Files, die als Owner "www-data" und im Ordner /var/www/* liegen.

 

[elias5000]

Wie wäre es, einen User anzulegen, diesem diese Dateien zu übereignen und dann mit diesem User auf die Dateien zuzugreifen?

DAS wäre für mich die kanonische Lösung. Und am besten für jedes Projekt, dass auf dem Host läuft ein extra User.

 

[blupp1]

Dann kann ich des doch grad in ne Gruppe packen? Wo ist da der Unterschied?

 

[Armadillo]

Ich finde Gruppen persönlich die bessere Lösung, weil jeder weitere User wieder ein mögliches Sicherheitsloch mehr ist, das nicht sein muss. Ich regel alles was intern geregelt werden kann lieber intern. Und solange man den apache-User nicht in die Root-Gruppe knallt sondern in ne extra Gruppe sehe ich da auch kein großes Sicherheitsproblem.

 

[elias5000]

Bei korrekter Verwendung von Usern (sichere Passwörter oder SSH-Key) sehe ich da kein Sicherheitsproblem.
Getrennte User für getrennte Sachen können da eher noch Sicherheit hinzufügen.
Er kann die "www-Files" ja auch dem User übereignen, den er schon hat und mit dem er aktuell per SCP zugreift.

 

[blupp1]

Werden die Dateien dann trotzdem fehlerfrei aufgerufen?

 

[Centro]

Werden die Dateien dann trotzdem fehlerfrei aufgerufen?

Die Frage hab ich mir auch grad gestellt. - Soweit ich weis wenn sie nicht mehr www-data:www-data gehören kann der Apache2 sie auch nicht mehr lesen, geschweige verändern.

Ich würde hier auch einen User in der Group www-data anlegen und mit diesem dann von SCP her connecten.
Ordner sind meist mit 755 und Dateien mit 644 angelegt. Das sollte ihm erstmal reichen.

Selbts ein chattr würde ihm hier nix bringen da er ja zwar dann mit einem neu angelegten User schreiben könnte aber die geschriebenen Dateien nicht mehr verändern kann. Durch chattr werden den Dateien ja dann alle Rechteeinstellungen von www-data gegeben....

Ach wie schön is FTP-SSL oder gleich Standard FTP

Greetz Centro