Sicherheit und Dateiberechtigungen

[suther]

Wenn ich für einen Kunden mehrere Webseiten anlege, werden diese ja beispielsweise unter:

/var/www/clients/client1/ abgelegt. Dort dann jeweils unter einem eigenen webuser:

web1, web2, web10 usw. In diesem Verzeichnis befindet sich dann der Webspace zu der entsprechenden Webseite.

Per Default sind die Berechtigungen (owner:group) web44:client1. Schaue ich nun z.B. in den Webspace von web1/web/ hinein, sind die Dateiberechtigungen:

rwxr-xr-x web1 client1 dateiname.php

Ist die Berechtigung so richtig gesetzt?

Mir geht es um folgendes Szenario: Was wenn jemand eine Webseite (sagen wir im webspace web2) hackt. Dann kann er doch von da auch alle anderen Webseiten des kunden infizieren, oder?

Welche Sicherheitsvorkehrungen würden hier nötig sein, damit das nicht so ist.

 

[Till]

Ist die Berechtigung so richtig gesetzt?

Ja.

Mir geht es um folgendes Szenario: Was wenn jemand eine Webseite (sagen wir im webspace web2) hackt. Dann kann er doch von da auch alle anderen Webseiten des kunden infizieren, oder?

Nein, kann er nicht. denn jede webseite des Kunden hat einen eignene web user, sie teilen sich nur die Gruppe. da aber die Gruppekeine Schreibrechte hat, kann man nicht von einer webseite eines kunden auf eine andere webseite des kunden schreibend zugreifen.

 

[suther]

Gut, also muss man wirklich ganz genau darauf achten, dass die Gruppe in diesem Fall niemals Schreibrechte erhält, sonst könnte es böse ausgehen, richtig!

 

[Till]

Das ist richtig, wobei Du da schon Dateirechte manuell ändern müsstest oder in pure-ftpd die default für die Dateirechte ändern um das zu erreichen, denn per default hat die Gruppe immer nur Leserechte.

 

[suther]

Nur der Ordnung halber: Lese und Ausführungsrechte !?
So hab ich es oben angegeben. Oder müsste die Gruppe doch nur r-- anstatt r-x haben?

 

[Till]

Das ist so ok mit den Rechten 755, Du kannst es auch auf 744 ändern, aber nicht bei Ordnern.