Filerechte -Wahnsin

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo,

    ich habe einen Apache2 Webserver mit vielen php scripten und
    sql zugriffen auf dem Pi installiert.

    Einige php Scripte öffne ich von meinem Windowsrechner, via
    samba Server dort habe ich mit 775 Zurgiff auf das Root Verzeichnis.
    (ja und bleibt auch so)

    Der Sicherheitswahn im Linux sprengt den Rahmen der Benutzbarkeit,
    ich kann also von entfernter Stelle die php files nicht zurück schreiben, selbst
    mit dem leaf -Editor lokal kann ich nicht auf die php scripte schreiben.

    Diese liegen im www folder, mit dem tool mc (alle files tragen sternchen) oder
    sudo nano via root konsole ist das möglich.

    Alle Files und folders habe ich mit chmod bereits rekursiv auf max zugriff gestellt.

    Ich möchte überhaupt rein garnichts von Sicherheit hören. Kann ich
    generell den Wahnsinn irgendwo deaktivieren ?

    Ich habe schlicht keine Zeit mehr mich andauernd mit File-attributen zu befassen.

    Viele der Scripte geben via http den Internen Fehler 500 zurück, also ich habe
    auch gemietete Webserver,da gibt es keinerlei probleme php's geöffnet
    zu halten und via ftp zu schreiben.

    Danke für Hinweise zur Benutzung
    Karsten

    • Offizieller Beitrag

    Lass mich raten...du bist der user pi, oder? Unter Windows darfst du als normaler user auch nichts, das ist als kein Linuxproblem. Öffne notepad++, mach ne über den internen FTP clienten ne SFTP Verbindung als root auf den pi auf und du kannst die Dateien bearbeiten und hochladen wohin du willst. Da du ja anscheinend keine weiteren hinweise hören willst, erspare ich mir die auch.

  • Kleine Erklärung warum du auf gemieteten Webservern das Problem nicht hast: Da hast du nur Zugriff auf den Bereich, den der Webserver ausliefert, du hast einen Benutzer der genau die richtigen Rechte hat um dort arbeiten zu können und die Rechte von neuen Dateien sind sofort auf Webserver voreingestellt. Das ist alles so, weil du nichts anderes dort darfst und willst.

    Und wenn du schlicht keine Zeit hast ständig File-attribute zu basteln wäre es ratsam einmal zu lernen was passiert und danach mit korrekten Rechten zu arbeiten, dann ist das kein Problem. Der Fehler sitzt vor dem Bildschirm. Das Rechtesystem von Linux ist sehr unaufdringlich wenn man es richtig macht. Und dazu ist die erste Regel NICHT als root zu arbeiten. Denn damit haben alle Dateien USER/GROUP root/root und nichts anderes kann drauf zugreifen.

    • Offizieller Beitrag
    Zitat

    Und dazu ist die erste Regel NICHT als root zu arbeiten


    Warum soll man nicht als root arbeiten? Wenn man weiß was man macht spricht da überhaupt nix dagegen :denker: Ich habe bewusst auf weiterführende Erklärungen bezüglich der Ownerships von /var/www verzichtet, da der TE offenbar kein interesse daran hat.


  • [quote]... Ich habe bewusst auf weiterführende Erklärungen bezüglich der Ownerships von /var/www verzichtet, da der TE offenbar kein interesse daran hat.

    Hallöchen dbv, mir als Linux-dau würde ne kleine Einführung in die Rechte-Schematik gefallen.
    Der TE darf gerne darüber hinweglesen.

    mfG
    Clonix

    Kommentare in Scripten/Sourcecodes machen nicht nur DIR das Leben leichter ;)

    • Offizieller Beitrag

    Clonix
    Na gut, in Kurzform: Der Webserver läuft unter einem bestimmten user, www-data. Warum das so ist, haben die "entsetzlichen augen" ;) weiter oben angesprochen. Sprich, Ein webserver muss nicht mit root-Rechten laufen, da er sonst auch Systemkritische Dienste (bzw. alles) am System ändern kann... das wollen wir natürlich vorerst nicht.
    Wenn ich nun als user root etwas nach /var/www (das Verzeichnis in welchem der Webserver nach anzuzeigendem Zeug schaut) kopiere, haben diese kopierten Dateien auch die Rechte des users root (logisch, denn er hat sie auch kopiert). Nun liegen im Webserververzeichnis Dateien, die user www-data zwar ggf. lesen kann aber das war's dann auch schon. (äusserst ungünstig wenn man z.B. die config von Joomla/owncloud/etc speichern will.)

    Deswegen mache ich immer nach dem kopieren von daten nach /var/www ein

    Code
    chown -R www-data:www-data /var/www

    um sicherzustellen das alles darin befindlichen Datein dem User www-data übertragen werden.
    Ich arbeite trotzdem ausschliesslich als root, das sudo getippe macht mich wahnsing ;)

  • Och dbv... das wäre das dritte Mal das wir durchkauen warum ich Neulingen das root-sein nicht empfehlen möchte. Und das tief einsteigen habe ich mir auch verkniffen, ich wollte ihm bloß deutlich machen, dass er einen gemieteten Webserver nicht vergleichen kann. Vielleicht bn ich bei sowas immer zu redselig :)

    Clonix, das gibt es duzendfach (davon mindestens 3 von mir) schon im Forum, daher entschuldige, wenn wir das nicht nocheinmal durchkauen.
    Ein Sauberes Tutorium dazu wäre mal gut, ich weiß nicht ob es das gibt. Dazu habe ich aber keine Zeit aktuell.
    Das hier sollte aber helfen: http://wiki.ubuntuusers.de/Rechte

    • Offizieller Beitrag

    Horroreyes

    stimmt, wir sollten mal nen FAQ Artikel dazu machen. Ich zeuge Neulingen gerne root, denn die meisten kennen Ihn gar nicht, geschweige denn das Sie ihn aktiviert haben (was in deinem Interesse ist) ;)

    /me machst sich eine Aktennotiz, damit er nicht mehr mit horroreyes über root diskutiert

  • Hallo Karsten,

    das einzige was ich am Rechtesystem wahnsinnig finde ist der Fakt, dass man praktisch gezwungen wird diszipliniert und umsichtig auf dem System zu arbeiten (dazu gehört auch, nicht dauernd als root unterwegs zu sein). Allerdings finde ich das wahnsinnig gut ;) ...
    Spätestens wenn Du die ersten Hacker-Versuche auf Deinem Rechner entdeckst wirst Du dieses Rechtesystem zu schätzen wissen ...

    cheers,
    -ds-

  • Ich finde es auch nicht empfehlenswert, jemandem, der das Rechtesystem des Multi-User OS Linux noch nicht, wenigstens in den Grundzügen, verstanden hat,
    bzw. sich als nicht nur Gelegenheitsanwender damit auseinanderzusetzen weigert,
    ernsthaft zu vermitteln, dass der permanente Gebrauch des root account durchaus praktikabel sei.
    Vor allem, wenn der Adressat dieses "Ratschlags" vorhat, einen nicht nur "nicht-gehärteten",
    sondern womöglich vollkommen offenen und elementarer Unix-Schutzmechanismen beraubten Webserver ins Internet zu stellen.
    Ich rede hier nicht mal von z.B. SELinux Policies, die durchaus kompliziert zu erstellen sein können.

    Bei solcher Aversion dazuzulernen würde ich eher dazu raten, ein anderes OS zu wählen.

    Natürlich kann man völlig zu Recht auf dem Standpunkt stehen,
    dass auf seinem eigenen Rechner niemand einem vorschreiben kann, unter welcher Kennung und mit welchen Privilegien er sich darauf bewegt,
    und wenn derjenige sich dabei in den Fuss schiesst, dann ist das ganz allein sein Vergnügen.
    Etwas anders sieht die Sache jedoch aus, wenn man so ein offenes System im Internet betreibt
    und dadurch in Kauf nimmt, andere Teilnehmer zu schädigen, indem der eigene Server z.B. zum Host für Spam, CSRF, DoS und für ähnlichen Missbrauch durch Kriminelle mutiert.

    Klar, wenn man systemadministrierend zugange ist und in der Regel weiss, was man tut,
    ist es üblich, dass man in eine root shell wechselt statt des dauernden sudo.
    Aber schon das Entwickeln, wenn es nicht gerade Code-Teile betrifft, die root-Privilegien benötigen,
    sollte auf jeden Fall unter einem in seinem (unbeabsichtigten) Zerstörungspotential eingeschränkten Account stattfinden.
    Nicht umsonst findet man in jeder Anleitung zum SW-Paketbau den eindringlichen Hinweis,
    das auf gar keinen Fall als root zu machen
    (falls das bei deb Paketen anders sein sollte, ich kenne nur die rpm Konventionen, da die von mir verwendeten Distros rpm-basiert sind).

    Bevor sich jetzt evtl. ein Embedded Systems Entwickler widersprechend zu Wort meldet,
    meine Ansichten und Erfahrungen basieren ausschliesslich auf Multi-User-Systemen.

  • Tach auch ...


    ...
    Natürlich kann man völlig zu Recht auf dem Standpunkt stehen,
    dass auf seinem eigenen Rechner niemand einem vorschreiben kann, unter welcher Kennung und mit welchen Privilegien er sich darauf bewegt,
    ...

    weiss Microsoft das eigentlich auch? :fies:

    Junge junge, denen ihr Quark ist imho in der Tat undurchsichtig und grenzt m.E. an Wahnsinn ... "security by obscurity" halt :lol:

    cu,
    -ds-

  • Live, bei .deb gibt es auch überall die DEUTLICHE Warnung. Dabei muss ich gestehen ist das Rechte-Wirrwar schon groß und man ist fast versucht... aber dafür gibt es ein Hilfsscript das die Sateirechte bei der deb-Packeterstellung automatisch schön sauber bastelt^^

  • Es ist schon korrekt ein im Internet befindliches System kann so nicht lange bestehen.

    Es handelt sich um einen Feldbusclient in einem gesicherten Industriellen -bereich
    hier gibt es kein Internet, nichtmal ein Handy darfst Du auf dem Hof bringen :)

    Ganze Atomkraftwerke laufen so :)


  • Ganze Atomkraftwerke laufen so :)

    Bitte zerstöre nicht meinen naiven Glauben an das Verantwortungsbewusstsein der Betreiber dieser Anlagen,
    und lass sie dort bitte kein Windows OS zur Steuerung ihrer Anlagen betreiben,
    sondern irgend ein eigens dafür entwickeltes oder gepatchtes Custom OS.

    Dass ein abgeschottetes Intranet kein Garant gegen Angriffe ist und schon mit einem präparierten
    und z.B. auf dem Mitarbeiterparkplatz "weggeworfenen" USB Stick überwunden werden kann,
    hat ja Stuxnet erschreckend gezeigt.

  • Man kann auch mit einem Seitenschneider da rumlaufen und alle Kabel demontieren.
    Oder alle Kabel vorher in Metallrohre einziehen.

    Sicherheit von Systembestandteilen ist nicht erwünscht. Es würde abertausende von Zugangsdaten und Barrikaden geben die irgendwann nicht mehr überwunden werden können. Geschweige wartbar. In solchen Bereichen ist die Tür die Sicherheit.

    Nichts ist sicher nur das Ende

    Lg.
    K.

  • naja Fakt ist: tausende Nutzer nutzen jeden Tag das Linux-Rechtesystem und haben keine Probleme. Wenn man es richtig nutzt stört es nicht. Das Problem sitzt vor dem Bildschirm.
    Das Linux-Rechtesystem auszuhebeln wäre nicht das Metallrohr um die Kabel weglassen sondern die blanken Kabel in einer Extraschleife am Gästeparkplatz aus dem Boden gucken zu lassen und einen Seitenschneider daneben zu legen.
    Blanke Kabel = Wenn ausgenutzt dann alles kaputt
    Extraschleife = Es war vorher vorhanden
    Gästeparkplatz = Übertriebene Darstellung um es dramatischer wirken zu lassen
    Seitenschneider daneben = Wer irgendetwas daran machen darf bekommt das root-passwort gesagt

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!