Servus ! Sorry, wenn das Thema schon ziemlich abgekaut ist, aber ich bekomme das nicht zum laufen. Ich hab schon in Newsgroups und im Archiv gesucht. Alle guten Ratschläge scheinen hier bei der SuSE-7.2 nicht zu fruchten. Ich will das/die Home-Verzeichnisse der Nutzer freigeben und probiere gerade mit meinem aus. Das Verzeichnis public_html und alle drüberliegenden Verzeichnisse sind world-readable/executable (obwohl das angeblich für die drüberliegenden nicht so sein muss) In der apache.rc.config wird HTTPD_SEC_PUBLIC_HTML=yes gesetzt, und an suse_public_html.conf (die augenscheinlich eingebunden wird, hab ich nichts geändert) Trotzdem kommt immer der bekannte Fehler 403: You don't have permission to access /~xxx/ on this server. Was gibt es noch zu beachten ? -- Mathias Weigt
On Mon, 27 Aug 2001, Mathias Weigt wrote:
Ich will das/die Home-Verzeichnisse der Nutzer freigeben und probiere gerade mit meinem aus. Das Verzeichnis public_html und alle drüberliegenden Verzeichnisse sind world-readable/executable (obwohl das angeblich für die drüberliegenden nicht so sein muss)
Doch, doch. Arbeite Dich mal in Unix-Rechte ein. Da wirst Du lesen, dass das "Betreten" eines Verzeichnis ein "Ausfuehren" ist, also das "x" verlangt.
Trotzdem kommt immer der bekannte Fehler 403:
You don't have permission to access /~xxx/ on this server.
Und das wird auch schon Dein Problem sein: Kontrolliere doch einmal die Rechte Deines Homeverzeichnisses. drwx-----x /home/xxx sollte da stehen, das ist das Recht 701. Und Dein public_html kann folgendes Recht haben: drwxr-xr-x /home/xxx/public_html Das ist das Rewcht 755. Und Deine _anderen_ Verzeichnisse _allesamt_ in Deinem Homeverzeichnis bekommen das Recht "rwx------", also 700. Ebenso die Dateien. Denn wer Dein Verzeichnis betreten kann, kann sich Dateiinhalte durchaus ansehen, wenn diese die passenden Rechte haben, auch wenn er die Dateien nicht auflisten kann, weil "--x" auf das Homedirectory verbietet. Und nun respektive: man chmod man chown Das Linux-Anwenderhandbuch aus dem Lunetix-Verlag hat mir hier am meisten geholfen. Das ist eine wahrhafte Literatur-Perle und nach wie vor im Internet frei zu lesen. Doch man moechte es kaufen, denn die Jungs haben da viel Muehe reingesteckt... Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
On Monday 27 August 2001 10:22, Peter Blancke schrieb:
On Mon, 27 Aug 2001, Mathias Weigt wrote:
Ich will das/die Home-Verzeichnisse der Nutzer freigeben und probiere gerade mit meinem aus. Das Verzeichnis public_html und alle drüberliegenden Verzeichnisse sind world-readable/executable
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
(obwohl das angeblich für die drüberliegenden nicht so sein muss)
Doch, doch. Arbeite Dich mal in Unix-Rechte ein. Da wirst Du lesen, dass das "Betreten" eines Verzeichnis ein "Ausfuehren" ist, also das "x" verlangt.
Danke, mit Rechten kenne ich mich ansonsten ganz gut aus.
Trotzdem kommt immer der bekannte Fehler 403:
You don't have permission to access /~xxx/ on this server.
Und das wird auch schon Dein Problem sein: Kontrolliere doch einmal die Rechte Deines Homeverzeichnisses.
drwx-----x /home/xxx
Ich habe bereits in der ersten mail geschrieben, dass ich die Rechte schon ordentlich gesetzt habe ! Nur um solche Antworten auszuschliessen.
sollte da stehen, das ist das Recht 701.
Und Dein public_html kann folgendes Recht haben:
drwxr-xr-x /home/xxx/public_html
Das ist das Rewcht 755.
Und Deine _anderen_ Verzeichnisse _allesamt_ in Deinem Homeverzeichnis bekommen das Recht "rwx------", also 700. Ebenso die Dateien. Denn wer Dein Verzeichnis betreten kann, kann sich Dateiinhalte durchaus ansehen, wenn diese die passenden Rechte haben, auch wenn er die Dateien nicht auflisten kann, weil "--x" auf das Homedirectory verbietet.
Und nun respektive:
man chmod man chown
Gruss
Peter Blancke
Waren bereits vor Jahren meine Bettlektuere. trotzdem danke. -- Mathias Weigt
On Mon, 27 Aug 2001, Mathias Weigt wrote:
On Monday 27 August 2001 10:22, Peter Blancke schrieb:
On Mon, 27 Aug 2001, Mathias Weigt wrote:
Ich will das/die Home-Verzeichnisse der Nutzer freigeben und probiere gerade mit meinem aus. Das Verzeichnis public_html und alle drüberliegenden Verzeichnisse sind world-readable/executable
Doch, doch. Arbeite Dich mal in Unix-Rechte ein. Da wirst Du lesen, dass das "Betreten" eines Verzeichnis ein "Ausfuehren" ist, also das "x" verlangt.
Danke, mit Rechten kenne ich mich ansonsten ganz gut aus.
So, dann waren ja die Erklaerungen nicht notwendig.
Ich habe bereits in der ersten mail geschrieben, dass ich die Rechte schon ordentlich gesetzt habe ! Nur um solche Antworten auszuschliessen.
Ja, das ist hier ein Problem in der Liste. Daher auch mein Tipp an alle: Nicht schreiben, man habe die Rechte "schon ordentlich gesetzt", sondern gleich schreiben, wie sie denn nun wirklich _exakt_ sitzen. Dann haette man in der Tat die Mail und die wertvolle Zeit einsparen koennen.
man chmod man chown
Waren bereits vor Jahren meine Bettlektuere.
Ja, das ist immer wieder spannend.
trotzdem danke.
Nichts fuer ungut. Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...
On Monday 27 August 2001 11:12, Peter Blancke schrieb:
On Mon, 27 Aug 2001, Mathias Weigt wrote:
On Monday 27 August 2001 10:22, Peter Blancke schrieb:
On Mon, 27 Aug 2001, Mathias Weigt wrote:
Ich will das/die Home-Verzeichnisse der Nutzer freigeben und probiere gerade mit meinem aus. Das Verzeichnis public_html und alle drüberliegenden Verzeichnisse sind world-readable/executable
Doch, doch. Arbeite Dich mal in Unix-Rechte ein. Da wirst Du lesen, dass das "Betreten" eines Verzeichnis ein "Ausfuehren" ist, also das "x" verlangt.
Danke, mit Rechten kenne ich mich ansonsten ganz gut aus.
So, dann waren ja die Erklaerungen nicht notwendig.
Ich habe bereits in der ersten mail geschrieben, dass ich die Rechte schon ordentlich gesetzt habe ! Nur um solche Antworten auszuschliessen.
Ja, das ist hier ein Problem in der Liste.
Daher auch mein Tipp an alle: Nicht schreiben, man habe die Rechte "schon ordentlich gesetzt", sondern gleich schreiben, wie sie denn nun wirklich _exakt_ sitzen. Dann haette man in der Tat die Mail und die wertvolle Zeit einsparen koennen.
Ich dachte "world-readable/executable" würde alles erklären. Aber ich hab das Problem nach 3h Suchen/Probieren nun gefunden. die (in der passwd eingetragenen) Home-Verzeichnisse dürfen keine Symlinks sein. Nachdem ich in der httpd.conf +FollowSymLinks eingetragen hatte klappte es auch mit den Homeverzeichnissen. Noch eine Frage dazu: Das war doch bestimmt nicht ohne Grund disabled. Was für eine Sicherheitslücke hab ich denn jetzt aufgeschlossen ? -- Mathias Weigt
On Monday 27 August 2001 11:37, you wrote:
On Monday 27 August 2001 11:12, Peter Blancke schrieb:
On Mon, 27 Aug 2001, Mathias Weigt wrote:
On Monday 27 August 2001 10:22, Peter Blancke schrieb:
On Mon, 27 Aug 2001, Mathias Weigt wrote:
Ich will das/die Home-Verzeichnisse der Nutzer freigeben und probiere gerade mit meinem aus. Das Verzeichnis public_html und alle drüberliegenden Verzeichnisse sind world-readable/executable
Doch, doch. Arbeite Dich mal in Unix-Rechte ein. Da wirst Du lesen, dass das "Betreten" eines Verzeichnis ein "Ausfuehren" ist, also das "x" verlangt.
Danke, mit Rechten kenne ich mich ansonsten ganz gut aus.
So, dann waren ja die Erklaerungen nicht notwendig.
Ich habe bereits in der ersten mail geschrieben, dass ich die Rechte schon ordentlich gesetzt habe ! Nur um solche Antworten auszuschliessen.
Ja, das ist hier ein Problem in der Liste.
Daher auch mein Tipp an alle: Nicht schreiben, man habe die Rechte "schon ordentlich gesetzt", sondern gleich schreiben, wie sie denn nun wirklich _exakt_ sitzen. Dann haette man in der Tat die Mail und die wertvolle Zeit einsparen koennen.
Ich dachte "world-readable/executable" würde alles erklären.
Aber ich hab das Problem nach 3h Suchen/Probieren nun gefunden. die (in der passwd eingetragenen) Home-Verzeichnisse dürfen keine Symlinks sein. Nachdem ich in der httpd.conf +FollowSymLinks eingetragen hatte klappte es auch mit den Homeverzeichnissen.
Noch eine Frage dazu: Das war doch bestimmt nicht ohne Grund disabled. Was für eine Sicherheitslücke hab ich denn jetzt aufgeschlossen ?
Lege mal einen Symlink zu /etc/passwd in einem der public_html's an ... Jeder User kann nun beliebige SymLinks zu lesbaren Dateien anlegen und Sie oeffentlich Verfuegbar machen ... Das willst Du doch nicht wirklich, oder? :-) Du kannst statt dessen die Funktion SymIfOwnerMatch (oder so aehnlich) verwenden, dann duerfen nur die Dateien angezeigt werden, die dem jeweiligen User gehoeren. mfg, Gerd -- /"\ \ / ASCII Ribbon Campaign x Say NO to HTML in email and news !! / \
On Monday 27 August 2001 11:50, Gerhard Feiner schrieb:
On Monday 27 August 2001 11:37, you wrote:
Noch eine Frage dazu: Das war doch bestimmt nicht ohne Grund disabled. Was für eine Sicherheitslücke hab ich denn jetzt aufgeschlossen ?
Lege mal einen Symlink zu /etc/passwd in einem der public_html's an ... Jeder User kann nun beliebige SymLinks zu lesbaren Dateien anlegen und Sie oeffentlich Verfuegbar machen ... Das willst Du doch nicht wirklich, oder? :-) Du kannst statt dessen die Funktion SymIfOwnerMatch (oder so aehnlich) verwenden, dann duerfen nur die Dateien angezeigt werden, die dem jeweiligen User gehoeren.
Gutes Argument. Deshalb hab ich es für die public_html - Verzeichnisse mit -FollowSymlinks wieder ausgeschalten durch Einträge in der suse_public_html.conf. Besser So ? -- Mathias Weigt
Hi Mathias On Mon, Aug 27, 2001 at 11:37:07AM +0200, Mathias Weigt wrote:
Aber ich hab das Problem nach 3h Suchen/Probieren nun gefunden. die (in der passwd eingetragenen) Home-Verzeichnisse dürfen keine Symlinks sein. Nachdem ich in der httpd.conf +FollowSymLinks eingetragen hatte klappte es auch mit den Homeverzeichnissen.
Noch eine Frage dazu: Das war doch bestimmt nicht ohne Grund disabled. Was für eine Sicherheitslücke hab ich denn jetzt aufgeschlossen ?
stell dir einfach mal vor das deine user aus versehen oder boshaftigkeit symlinks setzen an Stellen die du nicht magst die aber worldreadable sind. Mir würde allein diese Vorstellung reichen es nicht zu enablen. Das Oreilly Buch zum Indianer ist an der Stelle recht ausführlich, einfach mal lesen. -- MfG. Falk
participants (4)
-
Falk Sauer -
Gerhard Feiner -
Mathias Weigt -
Peter Blancke