Hallo Ralph, hallo Antje, hallo Leute, On Sunday 19 May 2002 10:48, Ralph Müller wrote:

"Antje M. Bendrich" wrote:

...

Ralph Müller schrieb am 18.05.2002 (22:04):

...

Hintergrund ist das Problem daß es meinem apache verwehrt wird auf /home/ralph/cgi-bin/ zuzugreifen. :-(

Hast Du zufällig zusätzlich noch das Problem, daß er SymLinks nicht folgen darf? /home/ralph/cgi-bin/ liegt ja wahrscheinlich außerhalb des Webserver-Bereichs, oder?

Ja, ich habe bereits auch schon ein Symlink angelegt ln -s /home/ralph/cgi-bin /usr/local/httpd/cgi-bin/mycgi aber die Berechtigung zum Lesen von /home/ralph/cgi-bin wird trotzdem verweigert.

Ich wollte meine Skripts halt lieber in ein Unterverzeichnis meines Homeverzeichnisses legen, weil ich bei Änderungen an Skripten in /usr/local/httpd/cgi-bin/ jedesmal ein "su" vorher machen muß. :-(

Mir ist es nicht ganz so wohl dabei wenn jeder in mein Homeverzeichnis wechseln könnte. Ich probiere nachher mal die Rechte von /usr/local/httpd/cgi-bin derart abzuändern, daß ich auch als User "ralph" da drin Schreibrechte habe. Oder spricht irgendwas gegen eine solche Vorgehensweise?

Prinzipiell dürfte nichts passieren, solange der Apache nicht unter dem User Ralph läuft. Vermutlich läuft der Apache unter wwwrun. Du solltest es also vermeiden, Dateien mit wwwrun als Besitzer öffentlich zugänglich zu machen, weil dann eine Hürde weniger da ist, um sich an Deinen Dateien zu vergreifen. Der Apache ist IMHO sicher, falls er als User wwwrun läuft (also nicht als root) und nicht kaputtkonfiguriert ist. Sollte wirklich jemand den Apache knacken, hindern ihn immer noch die mangelnden Schreibberechtigungen von wwwrun daran, etwas zu verändern. Zurück zu Deinem Problem: Was hältst Du von dem Eintrag ScriptAlias /cgi-bin/ "/home/ralph/cgi-bin/" in der httpd.conf? Das "mountet" [1] /home/ralph/cgi-bin als http://dein.servername/cgi-bin Gruß Christian Boltz [1] "mounten" ist wohl nicht der richtige Begriff; ich finde aber, dass der Vergleich ganz gut passt ;-) -- Registrierter Linux-Nutzer #239431 Linux - life is too short for reboots.

On Mon, May 20, 2002 at 10:44:19AM +0200, Ralph Müller wrote:

...

Was hältst Du von dem Eintrag ScriptAlias /cgi-bin/ "/home/ralph/cgi-bin/" in der httpd.conf?

Also müßte ich (m.E.) mein "darüberliegendes" Homeverzeichnis für "die Welt" öffnen. Und das möchte ich eigentlich nicht.

mkdir /home/ralph/priv mv /home/ralph/* /home/ralph/priv/ mkdir /home/ralph/cgi-bin Nun ist es wurst, dass Dein Home Verzeichnis world readable ist, da priv es nicht zu sein braucht und die Leute nur auf cgi-bin zurückgreifen können. Sämtliche Daten, die Du anderen Usern zugänglich machen möchtest kannst Du obendrein in /home/ralph/ ablegen. Somit hast Du Sicherheit und funktionalität in einem :-) greetinXs, Telefon: 07275/618351 Michael Hilscher Handy: 0173/3071899 Telefax: 07275/618352 -- Would Mozart have been more productive if he had scribes to help him, a secretary and a CEO to lead his way? -- Linus Torvalds

Moin, Peter Wiersig schrieb am 20.05.2002 (17:16):

Ralph Müller wrote:

...

Also müßte ich (m.E.) mein "darüberliegendes" Homeverzeichnis für "die Welt" öffnen. Und das möchte ich eigentlich nicht. :-/

Es muss doch nicht world-readable sein, world-executable reicht aus. und wenn du die folgende Rechtetabelle verwendest, koennen lokale User nix lesen: drwx-----x ralph.users /home/ralph

Jein. Wenn es in /home/ralph Dateien gibt, die Leserechte für group/others haben UND jemand kennt den Dateinamen, dann kann er auf die Datei lesend zugreifen. Analog für ausführbare Dateien. Man kann natürlich darauf achten, daß alle Dateien entsprechend "gerechtet" sind, aber diese Methode bietet nicht eine hundertprozentige Sicherheit, daß einem nicht doch mal eine Datei mit nachlässigeren Rechten durch die Finger rutscht. Das Risiko ist gering, manche werden sagen vernachlässigbar gering, aber es ist vorhanden. Gruß, Antje P.S.: Fürs Archiv und alle Interessierten ein Zitat aus http://www.tu-harburg.de/dlhp/HOWTO-test/DE-DOS-Win-nach-Linux-HOWTO-5.html: --- <zitat> --- Verzeichnisse haben natürlich, ebenso wie Dateien, auch Zugriffsrechte. Die Rechte, die im Abschnitt Rechte und Eigentümer für Dateien besprochen wurden, existieren auch analog bei Verzeichnissen (user, group, other). Für ein Verzeichnis bedeutet rx, daß man in das Verzeichnis wechseln kann und sich den Inhalt auflisten lassen kann. w dagegen bedeutet, daß man eine Datei im Verzeichnis löschen kann oder eine neue anlegen kann. Man kann eine Datei in einem Verzeichnis, für das man Schreibrechte besitzt, auch dann löschen, wenn die Datei für einen eigentlich schreibgeschützt ist. Das System fragt zwar an, ob man die Datei wirklich löschen will, aber wenn man ja sagt verschwindet die Datei. Der Schreibschutz für Dateien bezieht sich nur auf das Verändern der Datei selber. Das Löschen einer Datei ist aber eine Änderung am Verzeichnis und nicht an der Datei. Die Datei selbst wird nicht verändert, sondern nur ihr Eintrag aus dem Verzeichnis entfernt. --- </zitat> --- -- A linguistics professor was lecturing to his class one day. 'In English,' he said, 'A double negative forms a positive. In some languages, though, such as Russian, a double negative is still a negative. However, there is no language wherein a double positive can form a negative.' A voice from the back of the room piped up, 'Yeah, right.'

Peter Wiersig schrieb am 21.05.2002 (08:59):

Antje M. Bendrich wrote:

...

Peter Wiersig schrieb am 20.05.2002 (17:16):

...

Es muss doch nicht world-readable sein, world-executable reicht aus. und wenn du die folgende Rechtetabelle verwendest, koennen lokale User nix lesen: drwx-----x ralph.users /home/ralph

Jein. Wenn es in /home/ralph Dateien gibt, die Leserechte für group/others haben UND jemand kennt den Dateinamen, dann kann er auf die Datei lesend zugreifen. Analog für ausführbare Dateien.

Ausprobiert, geht nicht! Die Gruppenrechte verbieten aus dem Verzeichnis zu lesen. Und haben Vorrang vor den Rechten fuer others.

Vielleicht haben wir uns mißverstanden, ich meinte folgendes Szenario: antje@tribble:~> mkdir rechtetest antje@tribble:~> chmod 111 rechtetest antje@tribble:~> ls rechtetest/ ls: rechtetest/: Keine Berechtigung antje@tribble:~> su Password: tribble:/home/antje # cd rechtetest/ tribble:/home/antje/rechtetest # echo blablubb >testdatei tribble:/home/antje/rechtetest # chmod 777 testdatei tribble:/home/antje/rechtetest # exit exit antje@tribble:~> cat rechtetest/testdatei blablubb antje@tribble:~> ls rechtetest/ ls: rechtetest/: Keine Berechtigung Auf das Verzeichnis rechtetest darf Benutzer antje ausschließlich ausführend zugreifen. Trotzdem kann sie, wenn sie den Dateinamen testdatei kennt UND diese Datei lesen darf, darauf zugreifen. Gruß, Antje -- Black holes were created when God divided by 0.

Antje M. Bendrich wrote:

Peter Wiersig schrieb am 21.05.2002 (08:59):

...

Antje M. Bendrich wrote:

...

Peter Wiersig schrieb am 20.05.2002 (17:16):

...

Es muss doch nicht world-readable sein, world-executable reicht aus. und wenn du die folgende Rechtetabelle verwendest, koennen lokale User nix lesen: drwx-----x ralph.users /home/ralph

Vielleicht haben wir uns mißverstanden, ich meinte folgendes Szenario:

Scheinbar, denn ich hatte verstanden, das der ralph nicht wollte das andere User seine Dateien in /home/ralph lesen koennen, der Apache der als wwwrun.nogroup laeuft aber auf /home/ralph/cgi-bin Programme zugreifen darf. Wenn ralph seinem homeverzeichnis den Oktalmode 0701 zuweist, und bei dem cgi-bin auch entsprechende bits setzt und die Programme fuer den Apache ausfuehrbar macht, sind seine Dateien vor neugierigen Blicken geschuetzt und seine CGIs muessten ausfuehrbar sein. Peter

Hallo, On Mon, 20 May 2002, Ralph Müller wrote:

Hier liegt das Problem. Apache findet dann zwar das Verzeichnis /home/ralph/cgi-bin/, kann aber nichts draus lesen oder ausführen, da er (Apache) keine Berechtigung dazu hat. Antje schrieb folgendes:

"Um ein Unterverzeichnis lesen zu können, muß man in alle oberhalb liegenden Verzeichnisse wechseln können, also mindestens das Recht zur Ausführung haben."

Also müßte ich (m.E.) mein "darüberliegendes" Homeverzeichnis für "die Welt" öffnen. Und das möchte ich eigentlich nicht. :-/

Mach doch einfach folgendes (einzeln, nach formatierung auf der Kommandozeile, oder als script (ohne das # zu beginn) oder eben per C&P): ==== UNGETESTET ==== # mkdir /exports; \ for dir in /home/*; do \ user="${dir//\/home\//}"; \ if grep -q "^$user.*$dir" /etc/passwd; \ then \ if ! test -d "/home/${user}/wwwhome"; then \ mkdir "/home/${user}/wwwhome"; \ chown "${user}.users" "/home/${user}/wwwhome"; \ chmod -R 700 "/home/${user}/wwwhome"; \ fi; \ mkdir "/exports/${user}"; \ mkdir "/exports/${user}/www"; \ mkdir "/exports/${user}/www/htdocs"; \ mkdir "/exports/${user}/www/cgi-bin"; \ chown -R "${user}.nogroup" "/exports/${user}"; \ chmod -R 710 "/exports/${user}/www"; \ ln -s "/exports/${user}/www/htdocs" \ "/home/${user}/wwwhome/htdocs"; \ ln -s "/exports/${user}/www/cgi-bin" \ "/home/${user}/wwwhome/cgi-bin"; \ fi; \ done ==== Die symlinks in den ~ sind fuer die User da, zum bequemen wechseln. Und die Annahme ist, dass apache mit der GID 'nogroup' laeuft. Dazu folgendes dann in die /etc/httpd/httpd.conf: ==== UserDir /exports/*/www/htdocs ScriptAliasMatch ^/~(.*)/cgi-bin/(.*) /exports/$1/www/cgi-bin/$2 ==== Beides kannst du dann noch wie gewohnt konfigurieren. Die Rechte in /exports/* sollten sich dann wie gewuenscht anpassen lassen, da Apache nur noch unter /exports was zu tun hat, nicht aber in den ~ der User... -dnh PS: was aehnliches klappte bei mir mit 'UserDir /home/*/wwwhome/htdocs' + 'ScriptAliasMatch ^/~(.*)/cgi-bin/(.*) /home/$1/wwwhome/cgi-bin/$2', allerdings ist z.Z. leider was zerkonfiguriert, die cgis in /home/*/wwwhome/cgi-bin laufen nicht ;( -- "Ach was! Wir reden doch eh genug, das du schon so langsam wissen müsstest wie und mit was Ich antworte. Vieleicht habe Ich in letzter Zeit einfach zu viele Froschpillen gegessen, das Ich so viel quacke?" [Woko° in dag°]