Thread apache2 - sqlite (9 answers)
Opened by Kuerbis at 2011-04-30 08:42

Linuxer
 2011-05-07 16:32
#148317 #148317
User since
2006-01-27
3890 articles
HausmeisterIn

user image
Hi,
ja, data muss für den Benutzer zugänglich sein, mit dem der Webserver läuft.

Auf den Systemen, wo ich volle Rechte habe, habe ich es in der Regel so, dass die Dateien und Verzeichnisse meinem Benutzer gehören und der Gruppe wwwrun zugeordnet sind.

Ein chmod 777 finde ich übertrieben und gefährlich, weil damit jeder Benutzer, selbst jene mit den geringsten Rechten schreibenden Zugriff erhalten. Bei Verzeichnissen bedeutet es, dass sie dort auch Daten löschen dürfen!

Je weniger Rechte gesetzt werden, desto besser ist es. Der Benutzer braucht Zugriff, eine Gruppe braucht Zugriff, alle anderen in der Regel nicht (jedenfalls keinen schreibenden Zugriff).
In einer Entwicklungs- und Test-Umgebung mag das noch locker zu sehen sein, aber spätestens im Produktivsystem sollte es restriktiver gehandhabt werden. Und warum nicht schon bei der Entwicklung daran üben?

Ich würde "others" vielleicht Lese-, höchstens Lese+Ausführrechte geben. Meist ist dies auch so, aber aus
Faulheit... Ich sehe kaum Gründe, warum "others" auf die Dateien zugreifen dürfen sollten.

Variante 1:
# Dateien/Ordner gehören dem Webserver-Benutzer;
# die Gruppe der Entwickler hat Zugriff über die Gruppenzuordnung
Benutzer: wwwrun
Gruppe: developers

Variante 2:
# Dateien gehören dem Benutzer, der entwickelt (also mir)
# über die Gruppenzuordnung kann der Webserver auf die Dateien ebenfalls zugreifen
Benutzer: main_developer
Gruppe: wwwrun

Der entscheidende Punkt und Bonus ist, dass das Verzeichnis data nicht direkt über einen Browser-Aufruf angesprochen werden kann. Ein Zugriff via http://example.org/hidden/data/program.db (bei Ablage im DocumentRoot) oder http://example.org/../data/program.db sollte so nicht möglich sein.

Im cgi-bin mag ich solche Daten-Dateien nicht (mehr) ablegen; weil dort auf die Dateien direkt zugegriffen werden kann; es wird zwar versucht, sie auszuführen, was in aller Regel fehlschlagen sollte; aber man weiß ja nicht, ob es nicht doch irgendeine Lücke gibt, die sowas ermöglicht...



Über dem Beitrags-Eingabefeld gibt es einen Link zur Formatierungshilfe. Dort wird tabellarisch aufgezeigt, welche Formatierungsmöglichkeiten es gibt und wie sie wirken: https://www.perl-community.de/bat/poard/markup_hel...
Außerdem gibt es bei aktivem JavaScript eine Buttonleiste über dem Eingabefeld, dass einige Formatierungsbefehle leichter (per Klick) zugänglich macht...
meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!

View full thread apache2 - sqlite