Seite 1 von 1
Rechte: www-data oder root in /var/www
Verfasst: 29.04.2017 13:43:06
von weshalb
Ich beschäftige mich derzeit mit der Absicherung von meinen Webapplikationen und stoße in vielen Howtos auf solche oder ähnliche Konstellationen:
chmod -R o-rwx /var/www/ordner
chown -R :www-data /var/www/ordner
chown www-data:www-data /var/www/ordner/config/conf.php
Im Fall von Horde muss ich beipielsweise diese Rechte vergeben, dass man bei Änderungen über das Webfrontend schreiben kann. Wäre es nicht sicherer, alles auf Root zu lassen und die entsprechenden Konfigurationen nur im Terminal zu ändern?
Re: Rechte: www-data oder root in /var/www
Verfasst: 29.04.2017 14:34:29
von DeletedUserReAsG
Hmm … meine Ansicht ist, dass es sicherer wäre, solche Sachen unter jeweils einem eigenen (entsprechend eingeschränkten) User laufen zu lassen, und dem dann auch nur Schreibrechte auf Files/Verzeichnisse zu geben, welche von dem Programm regulär beschrieben werden. Davon, Files unterhalb des DocRoot root zu geben, halte ich eher wenig.
Re: Rechte: www-data oder root in /var/www
Verfasst: 29.04.2017 15:55:02
von thoerb
weshalb hat geschrieben:
Im Fall von Horde muss ich beipielsweise diese Rechte vergeben, dass man bei Änderungen über das Webfrontend schreiben kann. Wäre es nicht sicherer, alles auf Root zu lassen und die entsprechenden Konfigurationen nur im Terminal zu ändern?
Wenn man selbst Webseiten oder Webapplikationen entwickelt, könnte man das ja dann nur als Root auf dem entsprechenden Server machen. Oder man müsste per SSH, Root-Anmeldung erlauben um die Dateien hochladen zu können. Ich würde das auch so machen, wie es niemand vorgeschlagen hat.
Ich hatte das schon mal so gemacht, dann musste ich die Daten als User hochladen, habe mich dann als Root angemeldet und musste den Kram dann an die entsprechende Stelle kopieren und wieder die Rechte ändern. Das ist total umständlich und fehleranfällig.
Re: Rechte: www-data oder root in /var/www
Verfasst: 01.05.2017 00:18:30
von weshalb
niemand hat geschrieben:Hmm … meine Ansicht ist, dass es sicherer wäre, solche Sachen unter jeweils einem eigenen (entsprechend eingeschränkten) User laufen zu lassen, und dem dann auch nur Schreibrechte auf Files/Verzeichnisse zu geben, welche von dem Programm regulär beschrieben werden. Davon, Files unterhalb des DocRoot root zu geben, halte ich eher wenig.
OK Danke, das klingt plausibel. Also erstelle ich pro Webapplikation einen User und werde die Konfigs bei entsprechenden Programmen weiterhin über das Terminal bearbeiten.