Webserver Zugriffsrechte?

[Godfather_d]

Hallo Leute,

habe ein Frage bezüglich der Zugriffsrechte am Webserver.

Also ich habe ein Webserver (ohost) über den ich mit FTP zugreife, meine Frage wäre jetzt wie kann ich die Read/Write/Ausführ rechte bestimmen?

Habe eine .htaccess Datei auf dem Webserver, die ich über den Browser nicht aufrufen kann, dass würde ich gerne jetzt für jede Datei am Webserver haben.

Rechte

Wie kann ich das so bewergstelligen?

Grüße

Godfather_d

[Chief Wiggum]

Normalerweise setzt man die Zugriffsrechte über den FTP-Clienten.

[hades]

Die .htaccess-Datei wird fuer den passwordgeschuetzten Zugriff beim Aufrufen der betreffenden Seite, nicht fuer Dateisystemberechtigungen verwendet.

[Godfather_d]

THX aber habs selber gemerkt beim testen

Habe die Permission nur für Root gemacht, dass heißt doch jetzt nur der mit Root , kann dies und das auf dem FTP machen oder? Es hat nicht mit dem Browser zutun?

Permission

Gut so?

Andere Frage, sagen wir mal einer kennt meine Struktur: /bilder/ich.jpg.

Wie kann ich ihm verweigern überhaupt auf den Ordner bilder zu gehen?

Mit .htaccess und .htpasswd? Jedoch hat es bei mir nicht geklappt :confused:

.htaccess:

AuthType Basic

AuthName Backup

AuthUserFile /bilder/ .htpasswd

require valid-user

.htpasswd:

test:2$ragYYS3H3T6

Folgende Fehlermeldung kommt:

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator, server@ohost.de and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

Woran liegt das?

Danke im Voraus!

[Chief Wiggum]

Naja... soweit ich weiss, braucht der Webserver auch Rechte auf die Daten. Oder läuft das System im Rootaccount?

Und lesen ist ein eigenes Recht. Verweigerst du das allen ausser dem Root, kann das zu seeeeehr lustigen Ergebnissen kommen.

[Godfather_d]

Naja... soweit ich weiss, braucht der Webserver auch Rechte auf die Daten. Oder läuft das System im Rootaccount?

Und lesen ist ein eigenes Recht. Verweigerst du das allen ausser dem Root, kann das zu seeeeehr lustigen Ergebnissen kommen.

Du meinst wenn er jetzt auf meine Domain geht ja?

Also scheint zu gehen, wenn ich auf meine seine: test.de - Stiftung Warentest gehe.

Das einzige was W und X Rechte haben muss ist der log Ordner, ansonsten kriege ich ne Fette PHP Fehlermeldung.

[hades]

Der user mit dem der Webserver laeuft benoetigt auf allen Dateien Deiner Website Lese-Rechte ®.

Bei Ordnern musst Du zusaetzlich auch die Ausfuehr-Rechte (x) fuer den webserver-user setzen, sonst kann der Webserver nicht in diesen Ordner wechseln.

Wenn der webserver-user nicht Besitzer ist und auch nicht der gesetzten Gruppe angehoert, dann musst Du diese Berechtigungen bei other setzen.

BTW: test.de ist vergeben und gehoert der Stiftung Warentest.

Das ist mit Sicherheit nicht Deine eigene Domain, oder?

[Godfather_d]

Ne sollte eigentlich ja www. t e s t .de als Beispiel gemeint sein.

[hades]

Dann nimm eher Example Web Page , Example Web Page oder Example Web Page .

Denn diese sind fuer Doku- oder Demo-Zwecke gedacht.

[Godfather_d]

Dann nimm eher Example Web Page , Example Web Page oder Example Web Page .

Denn diese sind fuer Doku- oder Demo-Zwecke gedacht.

Hehe ok werds mir merken!!

[Godfather_d]

Der user mit dem der Webserver laeuft benoetigt auf allen Dateien Deiner Website Lese-Rechte ®.

Wenn der webserver-user nicht Besitzer ist und auch nicht der gesetzten Gruppe angehoert, dann musst Du diese Berechtigungen bei other setzen.

Was ist hier mit User gemeint, der User der auf den FTP direkt zugreift? Oder der User der über den Browser zugreift?

Zur Zeit hab ich ja nur Root aktiv und alles funktioniert soweit, FTP wie auch Browser. Ist das so sicher?

Und ich würde gerne auch das mit dem .htaccess und .htpasswd hinbekommen.

[Godfather_d]

Habe die Lösung:

AuthUserFile /usr/export/www/hosting/Hauptverzeichnis/Ordner/.htpasswd

AuthName Benutzername@Kategorie

AuthType Basic

require valid-user

[hades]

Was ist hier mit User gemeint, der User der auf den FTP direkt zugreift? Oder der User der über den Browser zugreift?

Der Webserver laeuft normalerweise nicht mit dem Benutzer root, sondern mit einem Unix/Linux-Benutzer ohne root-Rechte.

Da dieser frei waehlbar ist, habe ich ihn hier webserver-user genannt.

FTP-User ist ein anderer User-Account, der kann natuerlich als Homedirectory den Pfad zu Deinem Webserver-Ordner haben.

.htaccess-User ist wieder ein oder mehrere andere User. Das waere Dein "Browser-User" fuer den passwordgeschuetzten Zugriff.

Zur Zeit hab ich ja nur Root aktiv und alles funktioniert soweit, FTP wie auch Browser. Ist das so sicher?

Nein, das ist gar nicht sicher.

Webserver- und ftp-daemon als root ist mit das Schlimmste, was Du machen kannst.

Erstelle zwei Unix/Linux-Benutzer ohne Root-Berechtigungen, einen fuer den Webserver und einen fuer den ftpd.

Dann aenderst Du die Konfig so, dass der Webserver und der ftp nicht mehr den root nutzen, sondern jeweils einen der neuen Benutzer.

Weiter wuerde ich auch kein ftp mehr einsetzen, denn dort geht im Moment Dein root-Kennwort unverschluesselt durchs Internet.

D.h. jemand braucht nur mal Deinen FTP-Traffic mitschneiden und schon hat derjenige Deinen Server ohne Aufwand uebernommen.

Sichere FTP-Alternativen: scp oder auf ssh basierendes ftp.

Aendere dringend Dein root-Kennwort und sichere Deinen Server ab!

Was verwendest Du noch? PHP?

[Godfather_d]

Nein, das ist gar nicht sicher.

Webserver- und ftp-daemon als root ist mit das Schlimmste, was Du machen kannst.

Erstelle zwei Unix/Linux-Benutzer ohne Root-Berechtigungen, einen fuer den Webserver und einen fuer den ftpd.

Dann aenderst Du die Konfig so, dass der Webserver und der ftp nicht mehr den root nutzen, sondern jeweils einen der neuen Benutzer.

Erstmal danke für deine Antwort!

Wie kann ich das aber bewergstelligen?

Möglichkeit

Diese art von möglichkeit habe ich nur.

Wie kann ich zwei Linux-Benutzer erstellen?

Weiter wuerde ich auch kein ftp mehr einsetzen, denn dort geht im Moment Dein root-Kennwort unverschluesselt durchs Internet.

D.h. jemand braucht nur mal Deinen FTP-Traffic mitschneiden und schon hat derjenige Deinen Server ohne Aufwand uebernommen.

Sichere FTP-Alternativen: scp oder auf ssh basierendes ftp.

Und wenn ich über FTPS (SSL) gehe ist das dann ok?

Was verwendest Du noch? PHP?

Ja!

[hades]

Erstmal danke für deine Antwort!

Wie kann ich das aber bewergstelligen?

Möglichkeit

Diese art von möglichkeit habe ich nur.

Hast Du ssh-Zugriff mit root-Berechtigungen auf den Server?

Du brauchst dafuer den Zugriff auf die Apache-Konfigdateien und die Konfigdateien des verwendeten FTP-daemons (ftp daemons gibt es viele, z.B. proftpd)

Wie kann ich zwei Linux-Benutzer erstellen?

man useradd

man passwd

Und wenn ich über FTPS (SSL) gehe ist das dann ok?

FTPS ist nicht ssh based ftp (sftp)

FTPS ist schon mal sicherer als ftp.

Hier wird der FTP Control Channel (alles was ueber Port 21 geht) mit TLS/SSL verschluesselt, die Daten im FTP Data Channel (bei FTP-Modus aktiv: Port 20) gehen aber trotzdem unverschluesselt ueber die Leitung.

sftp ist komplett verschluesselt und laeuft nur ueber einen Port, idR auf dem ssh-Port 22.

Ja!

Dann lese hier mal weiter Grundsicherung für PHP-Software - heise Security

php ist in der Standardkonfiguration sehr unsicher.

Bearbeitet 20. Juni 2008 von hades

[Godfather_d]

Hast Du ssh-Zugriff mit root-Berechtigungen auf den Server?

Du brauchst dafuer den Zugriff auf die Apache-Konfigdateien und die Konfigdateien des verwendeten FTP-daemons (ftp daemons gibt es viele, z.B. proftpd)

Also ich habe ja nur ein Webhost bei Ohost. Kann nur mit FTP drauf auf das Hauptverzeichnis.

Ist proftpd ungefähr so wie in Linux Webmin?

man useradd

man passwd

Wo soll ich das hinschreiben? Haben dann die Benutzer automatisch kein Root mehr?

FTPS ist nicht ssh based ftp (sftp)

FTPS ist schon mal sicherer als ftp.

Hier wird der FTP Control Channel (alles was ueber Port 21 geht) mit TLS/SSL verschluesselt, die Daten im FTP Data Channel (bei aktiv FTP: ueber Port 20) gehen aber trotzdem unverschluesselt ueber die Leitung.

sftp ist komplett verschluesselt und laeuft nur ueber einen Port, idR auf dem ssh-Port 22.

Habe grade gelesen das SSL bei Ohost gesperrt ist!

Dann lese hier mal weiter Grundsicherung für PHP-Software - heise Security

php ist in der Standardkonfiguration sehr unsicher.

THX werd ich machen.

[hades]

Ohne Dir nahetreten zu wollen:

Bitte teste ein neues, unbekanntes System erst in einer abgeschotteten Umgebung und hole Dir erst dann ein Hosting-Paket wenn Du die benoetigten Kenntnisse hast.

Sonst kann es u.U. schnell passieren, dass Du fuer Deinen nicht abgesicherten Webspace zur Verantwortung gezogen werden kannst.

Viele linux-Einstellungen gehen nur auf der shell (linux-Kommandozeile), nicht per graphischer Oberflaeche bzw. -tool (z.B. webmin).

useradd ist wie passwd ein Befehl auf der shell.

man davor gibt Dir die manual pages - Hilfeseiten - zum betreffenden Befehl aus. Auch nur auf der shell moeglich.

Das geht alles nur, wenn Du vollen root-Zugriff auf den Server hast und Dich auch entweder direkt an der Text-Konsole oder per ssh einloggen kannst.

Es geht sicherlich auch viel ueber webmin, aber eben nicht alles.

Und jetzt die entscheidende Frage: Wie heisst Dein ohost-Paket genau?

Denn damit kann man erst sehen, welche Dinge (z.B. die vollen Root-Zugriff benoetigen) ueberhaupt moeglich sind.

Bearbeitet 20. Juni 2008 von hades

[Godfather_d]

Ohne Dir nahetreten zu wollen:

Bitte teste ein neues, unbekanntes System erst in einer abgeschotteten Umgebung und hole Dir erst dann ein Hosting-Paket wenn Du die benoetigten Kenntnisse hast.

Sonst kann es u.U. schnell passieren, dass Du fuer Deinen nicht abgesicherten Webspace zur Verantwortung gezogen werden kannst.

Viele linux-Einstellungen gehen nur auf der shell (linux-Kommandozeile), nicht per graphischer Oberflaeche bzw. -tool (z.B. webmin).

useradd ist wie passwd ein Befehl auf der shell.

man davor gibt Dir die manual pages - Hilfeseiten - zum betreffenden Befehl aus. Auch nur auf der shell moeglich.

Das geht alles nur, wenn Du vollen root-Zugriff auf den Server hast und Dich auch entweder direkt an der Text-Konsole oder per ssh einloggen kannst.

Es geht sicherlich auch viel ueber webmin, aber eben nicht alles.

Und jetzt die entscheidende Frage: Wie heisst Dein ohost-Paket genau?

Denn damit kann man erst sehen, welche Dinge (z.B. die vollen Root-Zugriff benoetigen) ueberhaupt moeglich sind.

OK OK, musste gerade voll Lachen!!!! :D:D

Deine Tipps waren bzw. sind spitze, aber ich habe mir schon gedacht hääää, wie soll ich das machen z.B. passwd oder useradd kenn ich ja aus Linux und habe mich gewundert, wie ich das machen soll (habe keine Shell).

Zum Thema was mich so zum Lachen bringt, wo du mich fragst welches Paket ich habe, muss ich dir sagen das total für umsonst. :D:D

Das kannst du ja nicht wissen. Und ich wiederum nicht, dass du jetzt die Beispiele auf einen vollwertigen Root-Server beziehst (habs mir aber langsam so gedacht, wollte nur abwarten). :cool:

Wahrscheinlich kann ich ja mit nem free Webhost nicht viel machen.

[geloescht_JesterDay]

Habe eine .htaccess Datei auf dem Webserver, die ich über den Browser nicht aufrufen kann, dass würde ich gerne jetzt für jede Datei am Webserver haben.

Öm... das kannst du gar nicht. Egal welche Rechte du der Datei geben würdest (auch das berühmte 777 würde dich die Seite nicht im Browser aufrufen lassen). Der Grund? Der Apache ist so eingestellt, dass alle .ht* Dateien nicht aufgerufen werden können, ganz einfach.

Die Datei .htaccess ist auch nicht dazu gedacht über deinen Browser aufgerufen zu werden. Diese Datei ist eine ausgelagerte Version der Apache-Konfiguration, die für Einstellungen genutzt werden kann, die für einzelne Verzeichnisse da sind und auch ohne Zugriff auf die Haupt-Konfiguration genutzt werden können.

Dein weiteres Problem mit der Zugriffsbeschränkung hast du ja schon gelöst. Dafür ist der absolute (Server-)Pfad nötig, nicht nur der pseudo-absolute von deinem Webspace

Bearbeitet 23. Juni 2008 von JesterDay

[Godfather_d]

Öm... das kannst du gar nicht. Egal welche Rechte du der Datei geben würdest (auch das berühmte 777 würde dich die Seite nicht im Browser aufrufen lassen). Der Grund? Der Apache ist so eingestellt, dass alle .ht* Dateien nicht aufgerufen werden können, ganz einfach.

Die Datei .htaccess ist auch nicht dazu gedacht über deinen Browser aufgerufen zu werden. Diese Datei ist eine ausgelagerte Version der Apache-Konfiguration, die für Einstellungen genutzt werden kann, die für einzelne Verzeichnisse da sind und auch ohne Zugriff auf die Haupt-Konfiguration genutzt werden können.

Hm, da hast du meine Frage falsch verstanden, dass die .htaccess von Haus aus geschützt ist, ist mir klar und das sie nicht mit dem Browser ansurfbar sein soll.

Meine Frage bestand darin andere Dateien wie z.B. jpegs oder Backups, die auf den Webserver gespeichert sind zu blockieren, genauso wie die .htaccess.

Habe aber jetzt gelernt, dass man es mit .htaccess und .htpasswd macht.

Dein weiteres Problem mit der Zugriffsbeschränkung hast du ja schon gelöst. Dafür ist der absolute (Server-)Pfad nötig, nicht nur der pseudo-absolute von deinem Webspace

Ja das hab ich

[geloescht_JesterDay]

Meine Frage bestand darin andere Dateien wie z.B. jpegs oder Backups, die auf den Webserver gespeichert sind zu blockieren, genauso wie die .htaccess.

Hm?

<FilesMatch "\.(gif|jpe?g|png)$">

  Deny from all

</FilesMatch>

So blockierst du alle Bilder (z.B.) genauso wie die .htaccess

Ansonsten solltest du an deiner Problemformulierung feilen

[Godfather_d]

Hm?

<FilesMatch "\.(gif|jpe?g|png)$">

  Deny from all

</FilesMatch>

So blockierst du alle Bilder (z.B.) genauso wie die .htaccess

Ansonsten solltest du an deiner Problemformulierung feilen

OK werd ich machen!

Und danke für den Tipp. :uli