Berechtigungen von /priv /tmp und /conf durch Kunden änderbar

  • Guten Tag,


    wir hatten jetzt schon öfters den Fall, dass einige "Spezialisten" seltsame Anleitungen befolgen, wo die nach dem FTP Upload alle Berechtigungen auf 777 setzen sollen. Ist an sich ja schon einmal quatsch und wird dann ja auch durch suexec geblockt.
    Was jedoch unschöner ist, dass der Kunde bei LiveConfig Webhostings ebenso die Berechtigungen für /priv /tmp und /conf ändern kann. Gerade im /conf Ordner meinte dann mancher Kunde schon, herumfrickeln zu müssen..
    suexec blockt dann die Aufrufe von PHP generell natürlich und man muss das händisch etwas "aufwandreicher" reparieren.


    Könnt ihr bei den Installationen dort nicht die immutable Flags setzen zB?

  • Was jedoch unschöner ist, dass der Kunde bei LiveConfig Webhostings ebenso die Berechtigungen für /priv /tmp und /conf ändern kann. Gerade im /conf Ordner meinte dann mancher Kunde schon, herumfrickeln zu müssen..


    Uh-oh, dann ist da was anderes schief gelaufen. Das Homeverzeichnis des Kunden (/var/www/<Vertrag>) muss root:root gehören (mode 0755). Im conf-Verzeichnis darf er generell gar keine Schreibrechte haben, die PHP-FastCGI-Starter sind mittels Immutable-Flags geschützt.


    Bitte legen Sie testweise mal einen neuen Vertrag an und prüfen die Rechte der erstellten Verzeichnisse.

  • Auf CentOS 7 sehen die Verzeichnisrechte so aus:


    Unter Debian 9:

    Code
    # ls -al /var/www/web1
    total 32
    drwxr-xr-x 8 root     root     4096 Jun 21 11:01 .
    drwxr-xr-x 9 root     root     4096 Jun 21 11:01 ..
    drwxr-x--- 5 www-data web1     4096 Jun 21 11:01 conf
    drwxr-x--- 3 web1     www-data 4096 Jun 21 11:01 htdocs
    drwxr-x--- 3 www-data web1     4096 Jun 21 11:01 logs
    drwxr-x--- 2 web1     web1     4096 Jun 21 11:01 priv
    drwxr-x--- 2 www-data web1     4096 Jun 21 11:01 stats
    drwxrwx--- 2 web1     www-data 4096 Jun 21 11:01 tmp
  • Hi,


    root:root für /var/www/<vertrag> ist korrekt. Die Berechtigungen für priv und tmp sind durch den Benutzer ja änderbar, da er Owner vom Ordner ist => sehe ich kein Problem drin. Beim conf Ordner sieht es anders aus:


    root@sp-lc1:/var/www/sp114# lsattr conf
    --------------e---- conf/php72
    --------------e---- conf/php56
    --------------e---- conf/php71
    --------------e---- conf/php7
    root@sp-lc1:/var/www/sp114# lsattr conf/*
    ----i---------e---- conf/php56/php.ini
    ----i---------e---- conf/php7/php.ini
    ----i---------e---- conf/php71/php.ini
    ----i---------e---- conf/php72/php.ini


    Hier sind nur die Dateien, nicht jedoch die Ordner mit +i gesetzt. Dadurch kann der Benutzer auch die ganzen Ordnerberechtigungen setzen.

  • Nein, der Benutzer hat ja keine Schreibberechtigungen in /conf und dessen untergeordneten Verzeichnissen.


    Code
    $ ls -al conf/
    total 20
    drwxr-x--- 5 www-data web11 4096 Jun 21 13:56 .
    drwxr-xr-x 8 root     root  4096 Jun 21 13:56 ..
    dr-xr-xr-x 2 web11    web11 4096 Jun 21 13:57 php5
    dr-xr-xr-x 2 web11    web11 4096 Jun 21 13:57 php56
    dr-xr-xr-x 2 web11    web11 4096 Jun 21 13:57 php70
  • Er kann nichts löschen, erstellen, verschieben. Aber bestehende Elemente modifizieren / Berechtigungen ändern, wo er der owner ist:


  • Ah, verstehe. Wir werden die unter conf/ untergeordneten Verzeichnisse kurzfristig mit dem Immutable-Flag versehen. Preview-Update kommt in ca. einer Stunde, Release dann voraussichtlich morgen Vormittag. Während des Upgrades werden bestehende Verzeichnisse automatisch mit +i versehen.


    php.ini-Dateien kann der Kunde übrigens dennoch nicht bearbeiten (durch +i geschützt), auch wenn er die Schreibrechte für die php*-Verzeichnisse erweitert hat.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!