Web-Rechte

B

Biskfm

Registered User
Ich habe zwei FTP/User bzw. zwei Webspace eingerichtet.

Einmal: srv/html/web1
und einmal srv/html/web2

Auf Web1 läuft eine Community. So weit so gut so schön.
Auf Web2 soll unser Intranet. So weit auch gut...

Das Problem ist jetzt nur, ich hätte gerne Web1 mit allen Rechten etc. so gelassen. Ich hätte nur gerne, dass Web2(Intranet) auch auf Web1-Dateien löschen/ändern/erstellen/einlesen/includen kann. Wenn ich das Intranet auf die Dateien zugreifen lassen will, erhalte ich immer nur "permission denied". Ist eigentlich auch gut so.. In meinem Fall aber nicht. Ich weiß leider nicht, wie/wo ich etwas ändern soll. Mit Webmin unter User vielleicht?
 
Da beide User (höchstwahrscheinlich) in der gleichen Gruppe sein werden, würde es reichen, wenn Du die Verzeichnisrechte von User web1 so anpasst, dass alle Gruppenmitglieder entsprechend Zugriff auf die Daten haben.
 
Hallo Biskfm,

da du uns leider wenig Informationen zu deinem System gegeben hast kann ich nur raten, ob du eine Admin-Software einsetzt, was für einen FTP-Server du verwendest, wie du es includet hast, sodass der 'Permission denied' kommt!

Ich würde einfach mal behaupten, dass du per Symlink gemacht hast...

Sollte das der Fall sein, dann ist es natürlich falsch, da du höchstwahrscheinlich den DocRoot auf ~ beschränkt hast.

Bevor ich jetzt 100 verschiedene Szenarien aufschreibe und dir mögliche Lösungen nenne, wäre es gut, dass du uns mal ein paar mehr Infos zu deinem Server gibst.

Also:
Adminsoftware?
Wenn ja, welche?
Wechen FTP-Server?
Wie hast du es includet?

Lieben Gruß
Free
 
Hallo :)

SuSE Linux 9.3
Confixx Premium Edition 1.0.4
Bei Server4u.... RootDS Business...

Die beste Lösung wäre, dass dass man die Recht für WEB1 etc. so lässt, wie es ist. Web1 soll unberührt bleiben. Lediglich WEB2 soll auch auf Web1 zugreifen können.

Mir gehts es hier nicht um FTP-Rechte :)

Ich möchte gerne von WEB2 aus, auf wichtige PHP-Klassen(Dateien) von WEB1 zugreifen. Sprich per Include-Befehl einlesen. Ebenso möchte ich gerne Bilder von WEB2 aus auf WEB1 löschen können etc.

in Php halt so:

Include "Srv/html/web1/core/class/datei.php" ...

da man ja in WEB2 ist, wird ja der zugriff verweigert... :) und genau das möchte ich ja als ausnahme für web2 genehmigen.
 
Du bist ja ein Fuchs...! Es gibt nur 3 Möglichkeiten in Linux Rechte zu klassifizieren: Owner, Group, Other.

Der Owner ist in diesem Fall Web1 - das ist eindeutig und daran wird nun auch gewiss nichts geändert.

Group ist in diesem Fall irgendeine Gruppe, in der wohl auch Web2 ist.

Other ist alles andere.

Damit die Sicherheit zumindest einigermaßen aufrecht erhalten wird, gibst du nun der Gruppe explizit Leserechte. Nichts ändern geht nicht!
 
"open_basedir" muss fuer web2 auch noch um den Pfad von web1 erweitert werden. Ansonsten wird es wohl zu einem Fehler kommen.
 
Guin said:
"open_basedir" muss fuer web2 auch noch um den Pfad von web1 erweitert werden. Ansonsten wird es wohl zu einem Fehler kommen.
Click to expand...

Kann man nicht irgendwo im Webmin oder http-spezial im Confix einstellen, dass Web2 eben die einzigste Ausnahme ist, dass WEB2 auch "owner" von Web1 ist? *mal ahnunglos frag* Ich will einfach nicht, dass andere Web3 oder so, das gleiche können wie Web2... Web1 ist Web1 und wenn, dann darf nur Web2 auch alles, was Web1 auf seinem webspace darf.

Wo wäre denn dein Vorschlag umzusetzen? Bitte um Hilfe und nicht belächelt zu werden...
 
Die Kombination open_basedir und Gruppenrechte ändern würde Dir insofern helfen, als das Du die open_basedir Restriktionen einfach nur für web2 änderst. Somit hat (zumindest via PHP) nur web2 die Möglichkeit auf die web1 Daten zuzugreifen.

Die anderen webuser sollten gejailed sein und deswegen ist die "Sicherheitslücke" erstmal nicht so eklatant.
 
Mh.. und das mache ich am besten wo? Bzw. kann mir jemand mal korrekte Schlüsselwörter zum Suchen geben?

Wie könnte das erweitern aussehen? Im Moment habe ich das wie folgt.. aber was ändere ich nun daran?

Code: 
#### CONFIXX APACHE VHOST FILE ####
   ### created Wed Jun 28 07:01:03 2006 ###

NameVirtualHost 62.75.188.77:80
php_admin_flag safe_mode On
php_admin_value safe_mode_exec_dir /srv/www/empty

UseCanonicalName Off
LogFormat "%V:#:%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" confixx
LogFormat "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" confixx2
CustomLog |/usr/local/confixx/pipelog.pl confixx
<Directory "/srv/www">
<Files ~ "^\.ht">
deny from all
</Files>
AllowOverride None
AllowOverride Indexes AuthConfig Limit FileInfo
Options None
Options -FollowSymLinks -SymLinksIfOwnerMatch +Includes
</Directory>


<VirtualHost 62.75.188.77:80>
ServerName 62.75.188.77
DocumentRoot /srv/www/confixx/html/gesperrt
</VirtualHost>
<VirtualHost 62.75.188.77:80>
ServerName admin.laparvalacrima.de
DocumentRoot /srv/www/web1/html/admin
SuexecUserGroup web1 ftponly
ScriptAlias /cgi-bin/ /srv/www/web1/html/cgi-bin/
php_admin_value open_basedir /srv/www/web1/:/srv/www/htdocs/phpMyAdmin/:/srv/www/htdocs/confixx/html/gesperrt/
php_admin_value upload_tmp_dir /srv/www/web1/phptmp/
</VirtualHost>
<VirtualHost 62.75.188.77:80>
ServerName 62.75.188.77
ServerAlias  www.62.75.188.77 web2.vs188077.vserver.de
DocumentRoot /srv/www/web2/html
SuexecUserGroup web2 ftponly
ScriptAlias /cgi-bin/ /srv/www/web2/html/cgi-bin/
php_admin_value open_basedir /srv/www/web2/:/srv/www/htdocs/phpMyAdmin/:/srv/www/htdocs/confixx/html/gesperrt/
php_admin_value upload_tmp_dir /srv/www/web2/phptmp/
<Directory "/srv/www/web2/html/">
Options +FollowSymlinks
</Directory> 
</VirtualHost>
<VirtualHost 62.75.188.77:80>
ServerName laparvalacrima.de
ServerAlias  www.laparvalacrima.de web1.vs188077.vserver.de
DocumentRoot /srv/www/web1/html
SuexecUserGroup web1 ftponly
ScriptAlias /cgi-bin/ /srv/www/web1/html/cgi-bin/
php_admin_value open_basedir /srv/www/web1/:/srv/www/htdocs/phpMyAdmin/:/srv/www/htdocs/confixx/html/gesperrt/
php_admin_value upload_tmp_dir /srv/www/web1/phptmp/
<Directory "/srv/www/web1/html/">
Options +FollowSymlinks
</Directory> 
</VirtualHost>
 
Last edited by a moderator:
Hallo Biskfm,

wenn du möchtest, dass web2 per Apache auf den web1 zugreifen will,
dann ändere im Http-Spezial die open_basedir von web2.

Also auf:
php_admin_value open_basedir /srv/www/web2/:/srv/www/htdocs/phpMyAdmin/:/srv/www/htdocs/confixx/html/gesperrt/:/srv/www/web1/
Click to expand...

Wenn du den Zugriff per FTP möchtest, dann binde es als Laufwerk ein.
Also mounte das Dir von web1 in das von web2, dann sollten die Rechte glaube ich keine Rolle spielen.

Lg
Free
 
Freel@ncer14 said:
MOD: Fullquote entfernt!
Click to expand...

Kann ich das auch direkt in der Datei tun? Denn im http-spezial wird mir nur meine Mod_rewrite-Erweiterung angezeigt... Würde die Datei wieder in den jetztigen Zustand überschrieben werden? Danke schon mal, habe ein Backup erstellt und die Datei exziplit gesichert... Mal gucken und danke!!

MOD: Und die Boardregel Nr. 3 bitte nochmal durchlesen ;)


Edit & Ich: Besser?^^
 
Last edited by a moderator:
Hallo Biskfm,

bitte keine FullQuotes und bitte auf die Regel 3 der Boardregeln achten!

Du kannst es zwar auch in der Datei ändern, aber ich glaube es wird dann überschrieben, wenn du mal wieder was im HTTP-Spezial machst, deswegen solltest du es besser im HTTP-Spezial hinzufügen.

Deine mod_rewrite sollten davon dann nicht gelöscht werden!

Lg
Free

€dit:
Da war der marneus wohl schneller ;)
 
Hm.. Wie schaut das denn für Http-Spezial aus? Da ich nichts habe um darin etwas zu ändern, kann ich mir nur vorstellen, es exziplit anzugeben.

Code: 
<directory...>
blub
</directory>

so? Wäre nett, wenn man mir das vorkauen könnte, damit ich hinterher schlauer bin... Ich bin gerne bereit zu lernen! :) Auch die Postingregel Nr. 3 ;)

PS: Die Änderung wäre dann vermutlich im Confix für alle Kunden/Reseller?

PPS: Hab das mal geändert... Ist immer noch 403... http://web2.vs188077.vserver.de/
 
Last edited by a moderator:
Um es etwas einfacher zu machen, der folgende Log aus der Errorlog...
Code: 
[Sun Sep 24 18:20:40 2006] [notice] caught SIGTERM, shutting down
[Sun Sep 24 18:21:12 2006] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Sun Sep 24 18:21:12 2006] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec2)
[Sun Sep 24 18:21:14 2006] [notice] Apache/2.0.53 (Linux/SUSE) configured -- resuming normal operations
[Sun Sep 24 18:25:00 2006] [crit] [client 172.208.25.57] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Sun Sep 24 18:25:01 2006] [crit] [client 172.208.25.57] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Sun Sep 24 18:25:01 2006] [crit] [client 172.208.25.57] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Sun Sep 24 18:25:33 2006] [crit] [client 172.208.25.57] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Sun Sep 24 18:25:45 2006] [crit] [client 172.208.25.57] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Sun Sep 24 18:25:59 2006] [crit] [client 172.208.25.57] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Sun Sep 24 18:26:59 2006] [crit] [client 212.227.57.191] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: [url]http://web2.vs188077.vserver.de/[/url]
[Sun Sep 24 18:27:11 2006] [crit] [client 172.208.25.57] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: [url]http://www.serversupportforum.de/forum/dedizierte-server/10928-web-rechte.html[/url]
[Sun Sep 24 18:38:28 2006] [crit] [client 83.135.50.99] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: [url]http://www.serversupportforum.de/forum/dedizierte-server/10928-web-rechte.html[/url]
[Sun Sep 24 18:38:31 2006] [crit] [client 83.135.50.99] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
[Sun Sep 24 18:39:43 2006] [crit] [client 172.208.25.57] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: [url]http://www.serversupportforum.de/forum/dedizierte-server/10928-web-rechte.html[/url]
[Sun Sep 24 18:44:28 2006] [crit] [client 172.208.25.57] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: [url]http://www.serversupportforum.de/forum/dedizierte-server/10928-web-rechte.html[/url]
[Sun Sep 24 18:48:43 2006] [crit] [client 172.208.25.57] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: [url]http://www.serversupportforum.de/forum/dedizierte-server/10928-web-rechte.html[/url]
[Sun Sep 24 18:51:03 2006] [notice] SIGHUP received.  Attempting to restart
[Sun Sep 24 18:51:03 2006] [warn] NameVirtualHost 62.75.188.77:80 has no VirtualHosts
[Sun Sep 24 18:51:03 2006] [notice] Apache/2.0.53 (Linux/SUSE) configured -- resuming normal operations
[Sun Sep 24 18:53:13 2006] [crit] [client 172.208.25.57] (13)Permission denied: /srv/www/web2/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable, referer: [url]http://www.serversupportforum.de/forum/dedizierte-server/10928-web-rechte.html[/url]
 
Last edited by a moderator:
Okay... Einen kleinen Erfolg kann ich verbuchen.
Nun bekomme ich das, was ich für sehr kritisch halte.

Code: 
Warning: opendir(): SAFE MODE Restriction in effect. The script whose uid is 638 is not allowed to access /srv/www/web1/html/core/class/ owned by uid 636 in /srv/www/web2/html/conf/uridefs.inc.php on line 92

Warning: opendir(/srv/www/web1/html/core/class/): failed to open dir: No such file or directory in /srv/www/web2/html/conf/uridefs.inc.php on line 92

Warning: readdir(): supplied argument is not a valid Directory resource in /srv/www/web2/html/conf/uridefs.inc.php on line 93

Ich möchte bestenfalls den SAFE MODE auf ON lassen - aus diversen Gründen... Was würdet ihr mir empfehlen? Wäre da was im Webmin zu bewerkstelligen? Wenn ja, was?

Den aktuellen Zwischenstand, könnt ihr auf dem o.g. Link verfolgen.
 
Ich habe eben noch etwas gefunden.

proftpd.de said:
Wie kann ich ein Verzeichnis einbinden, was der User normaler nicht erreichen kann ?

Das Defaultroot hat ja zur Folge, dass Dateien ausserhalb des Defaultroot nicht mehr erreichbar sind. Softlinks oder ähnliches klappt nicht, nur Hardlinks, aber die funktionieren leider nur bei Dateien. Um komplette Verzeichnisse in das Defaultroot einzubinden, bieten der Linux Kernel ab 2.4.x eine neue mount Funktion.

mount --bind olddir newdir
Diese Anweisung bindet das Verzeichnis ein weiteres mal unter "newdir" ein.

Beispiel:
mount --bind /home/user1/Privat /home/user2/privat

Das private Dir von "user1" steht auch "user2" zur Verfügung


P.S. unter BSD heisst der Befehl "mount_null" und funktioniert genauso (mount_null olddir newdir)
Click to expand...

Code: 
mount --bind /srv/html/web1 /srv/html/web2/web1
Nun muesste web2 ueber "/srv/html/web2/web1" auf web1 zugreiffen koennen.
 
Hi,

wie ich hier schon geschrieben hatte:

VSFTP + SymLinks

Hi, habe mal eine Frage zu vsftp und verknüpften Verzeichnissen. Habe auf meinem Linux Server (Suse 9.3) einen SymLink über MC erstellt. Welcher so aussieht. Original Pfad: /home/files/kundenname SymLink: /srv/www/kundenname/html/~files Per Web ist dieser Pfad ohne Probleme erreichbar...
serversupportforum.de serversupportforum.de

Aber danke Guin für die Mühe, denn wenn man nicht weiß nach was man suchen muss, dann, kann ich mir vorstellen, dass man es auch nicht findet.

Lieben Gruß
Free
 
You must log in or register to reply here.
Back
Top