[mic_jan]

Zitat:

Zitat von mstuebner

Wie recht Du doch hast. Es ist ein Graus mit diesen jeder darf alles Konfigurationen.

Wie wäre es denn dann mit einem Tutorial zu diesem Thema ;-) Und der Verdienst wäre, dass man geholfen hat, die Welt ein wenig sicherer zu machen!

Lieben Gruss,

Michael

[mstuebner]

Zitat:

Zitat von mic_jan

Wie wäre es denn dann mit einem Tutorial zu diesem Thema ;-) Und der Verdienst wäre, dass man geholfen hat, die Welt ein wenig sicherer zu machen!

Sicher doch. Nur muss man vorher festlegen, wieviel hundert verschiedene Konfigurationen man beschreibt und dann auch welche. Wer dann seine Konfiguration in der Lage ist daraus herauszufinden, der weiss genug, so dass er das Tutorial nicht braucht.

Oder anders herum:

Man kan sowas sicher schreiben. Allerdings wird die beschriebene Konfiguration zu 100% Sicherheit von der Zielkonfiguration abweichen. Und ich bin mir sicher, dass derjenige der so ein Tutorial braucht nicht das nötige Transferwissen hat, um die gegebene Konfiguration auf seine Konfiguration umzusetzen.

Tutorial:

- alle php Dateien: chown -R wwwrun:wwwrun
- alle Verz.: chmod 550
- alle Dateien: chmod 440
- die Verzeichnisse: temp, upload (siehe Install tool) auf owner root und 777

Done.

[floogy]

Hallo,

hier kann man das nachlesen:

http://cvs.sourceforge.net/viewcvs.p....2&view=markup
Suchen nach

Code:

Files and DirectoriesTYPO3

oder besser noch den entsprechenden Abschnitt in "Inside Typo3" lesen.

Dort gibt es auch einen Abschnitt Security

Allgemeines zu Dateirechten und Sicherheit unter unix derivate:

http://www.linuxwiki.de/DateiRechte
http://www.faqs.org/docs/linux_intro/sect_03_04.html

floogy

[Junior]

Zitat:

Zitat von mstuebner

Tutorial:

- alle php Dateien: chown -R wwwrun:wwwrun
- alle Verz.: chmod 550
- alle Dateien: chmod 440
- die Verzeichnisse: temp, upload (siehe Install tool) auf owner root und 777

Done.

Danke. Ich hab das in die FAQ aufgenommen (Installation & Updates; unterster Eintrag:sad: http://www.typo3forum.net/forum/typo..._chmod_vergabe

Ganz lieben Gruss

Junior

[uffi]

Hallo Matthias,

dein erstes Posting in diesem Thread habe ich als Bestätigung meiner Vermutung gewertet, dass Dreiviertel der vorgeschlagenen Berechtigungskonstruktionen, die so im Web zu Typo3 kursieren, zumindest dann das Prädikat 'gemeingefährlich' verdienen, wenn ich auf meinem Server mehrere WWW-User habe, die ich gegeneinander absichern und vor der Welt schützen muss.
Deswegen habe ich weiter recherchiert, wie das Berechtigungswesen in Unix-Systemen so funktioniert. Leider kostet das viel Zeit, und davon habe ich immer zu wenig, weswegen meine Antwort erst jetzt kommt.

Ich glaube übrigens nicht, dass es bei einem Tutorial zum Thema Berechtigungen darum gehen kann, jede x-beliebige Serverkonfigurationsvariante abzudecken. Auf dem Gebiet Vollständigkeit zu erreichen, dürfte unmöglich sein.
Es geht darum, dass die Lernenden hinterher wissen, was sie denn überhaupt erfragen müssen.

Ich bin einer dieser Linux-Daus, ich kann durchaus lesen und auch die Fähigkeit zu geistiger Transfer-Leistung würde ich mir nicht vollständig absprechen ;). Aber eines ist wirklich zum Knochenkotzen: Vielfach sind die für mich auffindbaren Hilfestellungen entweder so stark vereinfacht, dass sie schlicht nicht mehr stimmen, oder aber es ist soviel Vorwissen vorausgesetzt, dass ich bei aller Lernwilligkeit die Hürden nicht oder nur unter sehr großen Schwierigkeiten überwinden kann.

Auch dein "Tutorial" wirft bei mir jede Menge Fragen auf:

Zitat:

Zitat von mstuebner

- alle php Dateien: chown -R wwwrun:wwwrun
- alle Verz.: chmod 550
- alle Dateien: chmod 440
- die Verzeichnisse: temp, upload (siehe Install tool) auf owner root und 777

Wenn ich davon ausgehe, dass das einzige Mitglied der Gruppe wwwrun der User wwwrun (der Apache) ist, dann hat ausschließlich dieser Zugriff auf die php-Dateien, und dies ausschließlich lesender Weise (440).

FRAGE: Was würde denn passieren, wenn für die Dateien 550 gesetzt würde. Eine Sache, die ich bislang nicht herausfinden konnte, ist, was rwx im jeweils relevanten Kontext eigentlich bedeuten. Verzeichnis != Datei und Dateien noch einmal unterschiedlich, je nachdem was sie ist oder macht (Text- oder HTML-Dateien sind etwas anderes als PHP-Dateien). Was also passiert, wenn
a) eine PHP-Datei 550 hat?
b) eine Text- oder HTML-Datei 550 hat?

Für die Verzeichnisse hast du zusätzlich das execute-Bit gesetzt, weil der Apache sonst gar nicht in das entsprechende Verzeichnis wechseln dürfte; Diese Erkenntnis kam mir irgendwo in den Weiten des Web ober beim Graben in Büchern, zitieren kann ich leider nicht. Mein Fazit: Wenn ein User (also im vorliegenden Fall der Apache) kein Ausführungsrecht hat, sind Leserechte ohne jeden praktischen Nährwert. Habe ich das richtig verstanden?


Für die im Install-Tool unter Basic-Configuration gelisteten Verzeichnisse soll ich den Owner root setzen. WARUM?
Ich nehme an, die Gruppe soll für diese Verzeichnisse die des Apache bleiben? Andernfalls wäre der ja abgeklemmt.
Auch die Welt soll volle Berechtigung auf diese Verzeichnisse haben. WARUM?
Sollen die PHP-Dateien in diesen Verzeichnissen im Besitz des Apache verbleiben?

Grundsätzlich ist mir auch noch unklar, wer gewinnt:

Die localconf.php steht auf 440. Wenn nun das übergeordnete Verzeichnis 777 hat, können dann der Apache und die Welt kraft der Verzeichnisberechtigung
a) die Datei löschen?
b) die Datei ändern?
c) im Falle der Welt: lesen?

Die localconf.php enthält ja immerhin die Datenbankverbindung inclusive Passwort im Klartext und ermöglicht so den Zugriff auf unter Umständen hochsensible Daten.

Stören tut mich auch der root-User. Das kann eben wirklich nur jemand mit root-Rechten machen.

Ich hoffe, jemand hat Geduld mit meinem Sack voll Fragen.

Liebe Grüße, Uschi

[mstuebner]

Zitat:

Zitat von uffi

Wenn ich davon ausgehe, dass das einzige Mitglied der Gruppe wwwrun der User wwwrun (der Apache) ist, dann hat ausschließlich dieser Zugriff auf die php-Dateien, und dies ausschließlich lesender Weise (440).

Das ist richtig, nur sagt ja niemand, dass nur wwwrun Mitglied der Gruppe sein soll.

Zitat:

Zitat von uffi

FRAGE: Was würde denn passieren, wenn für die Dateien 550 gesetzt würde.

DieAntwort kennst Du doch: der User und die Gruppe kann in die Dateien schreiben und sie löschen.

Zitat:

Zitat von uffi

Eine Sache, die ich bislang nicht herausfinden konnte, ist, was rwx im jeweils relevanten Kontext eigentlich bedeuten. Verzeichnis != Datei und Dateien noch einmal unterschiedlich, je nachdem was sie ist oder macht (Text- oder HTML-Dateien sind etwas anderes als PHP-Dateien). Was also passiert, wenn
a) eine PHP-Datei 550 hat?
b) eine Text- oder HTML-Datei 550 hat?

Das Gleiche, die Datei kann gelesen und geschrieben werden. Kein Unterschied.

Zitat:

Zitat von uffi

Mein Fazit: Wenn ein User (also im vorliegenden Fall der Apache) kein Ausführungsrecht hat, sind Leserechte ohne jeden praktischen Nährwert. Habe ich das richtig verstanden?

Wenn Du Dich auf Verzeichnisse beziehst: JA.

Zitat:

Zitat von uffi

Für die im Install-Tool unter Basic-Configuration gelisteten Verzeichnisse soll ich den Owner root setzen. WARUM?

Weil dann nur Root die Rechte ändern kann.

Zitat:

Zitat von uffi

Ich nehme an, die Gruppe soll für diese Verzeichnisse die des Apache bleiben? Andernfalls wäre der ja abgeklemmt.

Ja, nein, vielleicht, je nach Konfiguration. Aber er ist in keinem Fall "abgeklemmt", denn er ist ja Owner.

Zitat:

Zitat von uffi

Auch die Welt soll volle Berechtigung auf diese Verzeichnisse haben. WARUM?

Auf WELCHE Verzeichnisse? Und auf temp spezifische Rechte zu setzen ist Unsinn, weil alle Prozesse hineinschreiben.

Zitat:

Zitat von uffi

Sollen die PHP-Dateien in diesen Verzeichnissen im Besitz des Apache verbleiben?

Welche Verzeichnisse?

Grundsätzlich ist mir auch noch unklar, wer gewinnt:

Zitat:

Zitat von uffi

Die localconf.php steht auf 440. Wenn nun das übergeordnete Verzeichnis 777 hat, können dann der Apache und die Welt kraft der Verzeichnisberechtigung
a) die Datei löschen? ==> Nein
b) die Datei ändern? ==> Nein
c) im Falle der Welt: lesen? ==> Nein

bzw. Ja, JA, JA für den Apachen, falls der Apache der Owner ist.

Zitat:

Zitat von uffi

Stören tut mich auch der root-User. Das kann eben wirklich nur jemand mit root-Rechten machen.

Wie meinen? DAS? Was?

[magellan2k]

Die 777 sollte nie erforderlich sein - wie oben angegeben (Chaosgenie).
"Welt" darf nie schreiben dürfen. Nur so zur Ergänzung!

[floogy]

Vielleicht wird das wegen diesen Zeilen in der INSTALL.txt so gehandhabt. Ist vielleicht so üblich bei php Programmen:

Code:

5 Set permissions (as root:sad: There are at least two options.
  These steps will make four directories writable for the webserver:
  - fileadmin/
  - typo3conf/
  - typo3temp/
  - uploads/

        4.a (recommended)
            Run these commands as root:
            # chgrp -R <wwwserver> fileadmin typo3conf typo3temp uploads
            # chmod -R g+w,o-rwx fileadmin typo3conf typo3temp uploads

            ... where <wwwserver> is the name of the group your webserver
            is running as

        4.b (insecure but easy to apply)
            I repeat: This is insecure!
            Do not use this method if you are working on a shared server!

            Simply run this command:
            $ chmod -R a+w fileadmin typo3conf typo3temp uploads

Ich weiß garnicht, weshalb 4b überhaupt als "option" beschrieben wird.

floogy

[mstuebner]

Zitat:

Zitat von floogy

Ich weiß garnicht, weshalb 4b überhaupt als "option" beschrieben wird.

Weil es auf Dauer keinen Spass macht und TYPO3 auch nicht hilft den Leuten ständig klar zu machen wozu Rechte da sind oder nicht. Wenn ich es nicht begreife, dann hab ich halt Pech.

[floogy]

Aber das ist noch kein Argument 4b überhaupt zu erwähnen.