prawa do katalogów na vps (Debian) Opcje

[qbas-s]

jak ustawić prawa własności dla katalogów i plików tak, by użytkownikiem były i serwer www i FTP. Aktualnie mam prawa katalogów na 755 i plików na 644 a mimo to dostaję informację o niezapisywalności

Ten post edytował qbas-s 8.12.2012, 15:46:54

[daniel1302]

Prawa działają tak


chmod: rwe | rwe | rwe
Cyfra Prawa Litera
0 Brak praw
1 Wykonywanie x
2 Pisanie w
3 Wykonywanie i pisanie wx
4 Czytanie r
5 Czytanie i wykonywanie rx
6 Czytanie i pisanie rw
7 Czytanie, pisanie i wykonywanie rwx
Zresztą opisane masz to tutaj:
http://pl.wikipedia.org/wiki/Chmod

Pierwsza liczba właściciel druga to grupa a trzecia Reszta


I możesz ustawić chmod 766, 777,666 itp, Ale zalecam dodanie usera www do grupy FTP i nadać grupie prawo rw-, User w linuxie moze byc w kilku grupach, więc dodaj go do dodatkowej grupy, ale nie zmieniaj mu aktualnej.

http://www.ubucentrum.net/2009/02/dodawani...ownikow-do.html

[qbas-s]

teorie o prawach znam:)
jestem początkującym użytkownikiem linuxa i zdaję sobię sprawę, że pytam o podstawy podstaw ale nie mogę tego znaleźć w internecie. Wiem jak dodawać grupy, użytkowników itp.

Sprawdzam listę grup i nie ma tam domyślnie grupy ftp, może ona się nazywać inaczej?
Użytkownik www też jest domyślnie dodany po instalacji debiana?

PS. Może nie wyjaśniłem dokładnie o co chodzi - przeniosłem Joomla na VPS i w panelu admina pokazuje mi że katalogi które są ustawione na 755 są niezapisywalne. Nie chcę ich ustawiać na 777

Ten post edytował qbas-s 8.12.2012, 16:33:17

[daniel1302]

A jaki program masz do obsługi serwera WWW(domyślam się, że apache) oraz do obsługi serwera FTP(ja używam proFTPD). Ja domyślnie instalowałem zawsze czysty debian(bez żadnych Xwindow manager itp) nawet w domu mam kompy na debianie(jeden z windą tylko) i sam zawsze wszystko instalowalem.
Też jestem początkującym userem linuxa(ok 1 rok doświadczenia)


Jeśli masz Apache 2 to edytujesz plik
etc/httpd/conf/httpd.conf
2 Linie

User użytkownik_www
Group grupa_www

ztym, że użytkownik_www musi należeć do istniejącej grupy grupa_www(nazwy wpisz własne)

Takie same linie powinny być w pliki /etc/proftpd.conf.

Jeśli bedziesz mial problemy bo proftpd ma różne tryby pracy to poszukaj w necie info o konfiguracji..

Teraz edytuj plik /etc/passwd
Składnia pliku:nazwa_użytkownika:hasło:UID:GID:komentarz:katalog_domowy:polecenie_logowan
ia

i sprawdź czy masz userów odpowiednich dla siebie

proftpd:x:107:65534::/var/run/proftpd:/bin/false
ftp:x:108:65534::/home/ftp:/bin/false
www:x:1000:1001:,,,:/var/www:/bin/false
maciek_ftp:x:1001:65534:,,,:/home/maciek_ftp/www:/bin/bash
kurczak_111_ftp:x:1002:65534:,,,:/home/kurczak_111_ftp/www:/bin/bash
warjat_ftp:x:1004:65534:,,,:/home/warjat_ftp/www:/bin/bash

To jest wycinek mojego.
Ineresuje nas taka pogrubiona dana:
ftp:x:108:65534::/home/ftp:/bin/false
www:x:1000:1001:,,,:/var/www:/bin/false

Jest to ID Grup i mozemy odczytac ze user FTP nalezy do grupy ID 65534, a www do grupy ID 1001.

Teraz edytujemy kolejny plik: /etc/group
np mam takie coś
ftp:x:65534:ftp,maciek_ftp,kurczak_111_ftp,warjat_ftp,www
www:x:1001:www,ftp,daemon.

mozemy sprawdzić tutaj jacy uzytkownicy należą do poszczególnych grup

I ja nie mam problemu ponieważ serwer ftp uzywa usera ftp i nalezy on do grup ftp i www
A serwer www uzywa usera www i nalezy on do grupy www i ftp, oraz do grupy demon, bo potrzebowaem do innego to do aby mieć dostęp do bibliotek(ale nie o tym).

I wykonujesz operacje przypisania grup

usermod -G -a jakas_grupa

[qbas-s]

Dziękuję za wyczerpującą wypowiedź dużo mi to wyjaśniło jednak na moim Debianie nie ma lokalizacji etc/httpd/conf/httpd.conf. Czy to jest to samo etc/apache2/apache2.conf ? Jeśli tak to mam tam tylko coś w stylu:

User: $(APACHE_RUN_USER)
Group: $(APACHE_RUN_GROUP)

proftpd zainstalowałem dopiero teraz bo nie wiedziałem że muszę takie coś mieć - interesuję się inną dziedziną informatyki ale i tak wiedziałem że linux wcześniej czy później mnie dopadnie



Ten post edytował qbas-s 8.12.2012, 17:30:23

[daniel1302]

W tak jest to to samo, zależnie od wersji.
Wartości tych zmiennych masz w /etc/apache2/envvars
i masz takie coś export APACHE_RUN_USER=www
export APACHE_RUN_USER=www

ale ja zmieniłem dane sobie ręcznie.

[qbas-s]

instalowałem Debiana domyślnie z ispconfig 3. Teraz zainstalowałem proftpd i nie dziła mi połączenie z serwerem przez klienta ftp.
W wartościach które podałeś mam dane www-data więc nie będę zmieniał

Ten post edytował qbas-s 8.12.2012, 17:33:05

[daniel1302]

Bo zapomniałem dodać, że możesz się nie zalogować na ftp jako user bo jeszcze jeden plik za to odpowiada.

Chodzi mi o plik /etc/ftpusers
Odpowiada on za blokadę logowania na ftp i jeśli masz tutaj nazwę swojego usera to nie zalogujesz się do ftp na usera który jest wpisany do tego pliku.
no to jak masz www-data to sprawdź czy taki user istnieje. I nie znaczy to, że masz sie logować na tego usera tylko ten user uruchamia w tle proftpd.
W twoim przypadku aby poprawnie dzialac z serwerem www
user apache i userproftpd(www-data) powinny mieć grupy dla ftp i serwera www, ponadto każdy user który będzie korzystał z ftp musi mieć grupę ftp.


i np tworzysz usera który ma mieć dostęp tylko do ftp np klient_user to dajesz mu główną grupę na ftp. lub ograniczasz katalog home dla other na 0

Odradzam logowanie się na ftp na konto które nie ma ograniczonego shella lub co gorsza usuwanie z ftpusers konta root.

Ten post edytował daniel1302 8.12.2012, 18:01:26

[qbas-s]

ok logowanie do ftp działa. Ale nadal moja strona www katalogii 755 uznaje za niezapisywalne :/

Ten post edytował qbas-s 8.12.2012, 18:18:20

[daniel1302]

Zależy gdzie masz zapisane te katalogi. Ja swoje pliki www mam zapisane w /var/www(strona serwera) oraz pliki userow w ~/www
Jest niezapisywalny bo plik z uprawnieniami 755 jest zapisywalny tylko dla wlasciciela, dla grupy r-x i dla reszty też r-x.
Sprawdź własciciela plików i ew zmień go lub zmień chmod na 764.

Własciciela sprawdzasz przez:

root@daniel1302:~# ls /var/ -als

I przykładowy wynik to:

Kod

total 56
4 drwxr-xr-x 14 root root  4096 Aug  8 00:10 .
4 drwxr-xr-x 21 root root  4096 Dec  7 19:16 ..
.
.
.
4 drwxrwxrwt  2 root root  4096 Jun 24 14:28 tmp
4 drwxrwx--- 13 www  www   4096 Nov  9 11:51 www

I jak widzisz katalog www należy do www:www, a np katalog tmp do root:root(user:grupa)

i pewnie próbujesz wykonać plik userem który uruchamia serwer www lub ftp a plik jest kogo innego(i musiałbyś mieć prawo dla reszty: rwx)
Zmień grupę i usera ewentualnie.
chown user[:group] file
chgrp group file

Ten post edytował daniel1302 8.12.2012, 19:01:18

[qbas-s]

nie wiem czy wiesz ale z poziomu np joomla można w panelu podejżeć czy dany katalog jest zapisywalny dla skryptu czy nie. Miałem stronę na wirtulanym hostingu i katalogi z prawami 755 były pokazywane jako zapisywalne natomiast na vpsie pokazywane są jako niezapisywalne. Dodałem usera www-data i usera ftp do grupy ftp potem zmieniłem właściciela jednego katalogu strony na ftp i efekt ten sam.

Z drugiej strony - skoro vpsa którego wykupiłem używam tylko ja to czy mogę się obawiać katalogów i plików z prawami 777?

Ten post edytował qbas-s 8.12.2012, 19:29:06

[daniel1302]

Teoretycznie nie, ale praktycznie różnie bywa.
Jomla patrzy na pliki nie z perspektywy ftp tylko z perspektywy www(łączy się przez port http). Więc zmień własciciela na www:www(domyślny user apache2).

Jeszcze jedno zmieniając własciciela musisz zmienić także podkatalogi

Kod

chown www:www katalog/* -R

Ten post edytował daniel1302 8.12.2012, 19:41:07

[qbas-s]

po tej dyskusji ktoś już próbował do serwera mi się dobrać dużo ponad przeciętny czas odwiedzin w dodatku z tego forum i w tym czasie duże zużycie pamięci RAM

[daniel1302]

No kolego i właśnie dlatego nie zalecam logować się na root'a w żadnym wypadku. Najelpiej zrób sobie konto i polecenia wykonuj poprzez su. Jak by nie było potrzebne stosowanie uprawnień to by ich nie było. W dodatku na źle skonfigurowany system linux jest sie prościej włamać niż na Windowsa. Bo Windows ma wbudowane automatyczne mechanizmy obronne które nie każdy potrafi lub co gorsza potrzebuje wyłączyć. A w Linuxie czasem z lenistwa sam nadaje prawa 777 na katalog

[qbas-s]

ale podobno zabezpieczenie vps'a z mojej strony przed atakami mało daje bo kluczową sprawą jest zabezpieczenie całej maszyny na co ja nie mam wpływu. Ale podstawowe zabezpieczenia zostały mimo to wykonane z mojej strony. Ale przyznaję się do błędu, do konsoli logowałem się przez roota. Błąd nie zostanie już powtórzony. Wszystkie katalogi też ustawiłem na 755 a pliki na 644 z możliwością wykonywania przez apache. Jak narazie ostatnie 24h spokojne

wracając do tematu. Loguję się do ftp ale nie mogę zmienić plików. Właścicielem jest grupa www-data. Więc do tej grupy dodałem usera przez którego loguję się do ftp i nadal nie mogę nic zmienić.

[viking]

Wywal to całe FTP i poczytaj o komunikacji po SSH. Bezpieczne, szyfrowane, nie musisz się pierdzielić z prawami. Pod linuksem po prostu montujesz zdalny katalog, pod windows pewnie będą jakieś programy.

[qbas-s]

poczytam. Na chwilę obecną szyfruję połączenia ftp