Thema: typo3_src: Wo muss der Apache was dürfen?
Einzelnen Beitrag anzeigen
  #22  
Alt 20.04.06, 21:30
seb seb ist offline
Forum Aktivist
  
Registriert seit: 10.11.05
Beiträge: 62
Reden
permalink
Es geht nicht nur um die Rechtevergabe..

Beispiel 1: Der Benutzername unter dem der Apache, Zeus oder ein anderer Webserver rennt ist nicht einfach immer `wwwrun´, das sollte ermittelt werden bevor man "irgendwas" macht.

nun hat man ein kleines Problem mit den Typo3 PHP Scripten, schliesslich sollte `user x` Dateien von `user y` weder lesen geschweige denn schreiben können.

was man in der Konfiguration aber kann! weil ein PHP Script jetzt direkt unter dem user des Webservers rennt. Nun können wir z.B. ein paar Verzeichnisebenen rauf und mal kucken was da ist, und jetzt komme mir bitte keiner uns sage das dies mit richtiger rechte Vergabe zu verhindern währe, denn wie wollt ihre dann noch Typo3 laufen lassen wenn der Webserver es nicht mehr lesen darf?

Also muss was anderes wie Open Basedir oder Beispiel 2 (beides richte ich gerne auf Rechnung ein)
Open Basedir verhindert dass, PHP Zugriff auf nicht freigegebene Verzeichnisse bekommt. Diese Lösung ist an sich umstritten aber sicher genug für die meisten Auftritte. Letztendlich muss man selbst abwägen ob man die bessere Performance oder die maximale Sicherheit wünscht.

Also nun zu Beispiel 2:
der Webserver also auch die Scripte rennen unter dem user des jew. Kunden also demnach ist User und Gruppe de facto das selbe. Nicht nur für Typo3 ist diese Version die beste Lösung sondern für alles was auf PHP, ASP, Perl o.a. läuft. Allerdings sinkt die Webserver Performance ca. um den Faktor 10.

Zu den Rechten:
nehmen wir mal die oktal angegebenen Rechte wie z.B. 777
die erste zahl steht für den Inhaber (owner), die zweite für die Gruppe, die dritte für alle (world).

7 bedeutet lesen, schreiben, ausführen.
6 lesen, schreiben aber nicht ausführen.
5 lesen, ausführen aber nicht schreiben.
4 nur lesen
0 darf nix

777 kann auch als rwxrwxrwx angegeben werden
755 rwxr-xr-x
644 rw-r—r--

Das Unix Rechte Thema hier ist nur mal eben angerissen, wer einen wirklich sicheren Server betreiben will sollte einem Systemadministrator diese Aufgabe überlassen oder sich gründlichst in das Thema einarbeiten.
Dieser Thread mit seinen Posts hier hat mich doch sehr erschrocken, und da dachte ich das jemand der Typo auf einem Unix installiert zumindest auch ein paar Unix Grundlagen wissen muss..
Mit Zitat antworten