WN

WN (https://www.wn.se/forum/index.php)
-   Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)
-   -   Joomla och filsystemsrättigheter (https://www.wn.se/forum/showthread.php?t=1039110)

azzid 2009-11-15 14:27
Joomla och filsystemsrättigheter
 
Jag har stött på ett litet problem när det kommer till det här med att köra Joomla i en virtuell host i apache. Eftersom varje användare äger sina egna filer men apache accessar dessa som sin användare tar det stopp till och från.

Det måste rimligtvis vara ett problem som jobbats runt i månget fall, men jag begriper inte riktigt hur man ska ta sig an det.

Jag har läst lite som suexec och något cgi-script som man kan använda för att köra php-koden och därmed få den att exekveras som användaren istället för servern. Det låter ju som en ypperlig lösning, men det verkar inte gå att få till det utan att manuellt kompilera upp en egen suexecbinär.

Inte för att det är helt otrevligt att bygga saker själv, men jag vill ju gärna hålla servern så "vanilla" som vanligt för att inte få ett h-vete med uppgraderingar i framtiden.

Så för att konkretisera frågan lite mer, hur gör man för att köra Joomla som en specifik användare istället för www-data?

emilv 2009-11-15 16:42
Kolla på MPM-ITK till Apache (om du kör Debian finns det i paketarkiven).

Annars räcker det med att ge other/övriga skrivrättigheter till filer och mappar:

chmod -R o+rwx .

azzid 2009-11-15 17:18
chmodda till lite sjuor här och där brukar onekligen få scripten att fungera, men det vore helt klart trevligt att få till någorlunda tydlig isolering mellan de olika webbarna.

mpm-itk kör ju, som det står på dess hemsida, som root "until the request is parsed and the vhost determined", hur farligt är det?
Hur mycket är det som händer innan vhosten är utpekad?
Exemplet de ger, där man får möjlighet att mata mod_ssl, körd som root, med något olämpligt låter ju lite läskigt...

emilv 2009-11-15 20:36
Citat:
Ursprungligen postat av azzid (Inlägg 20331431)
chmodda till lite sjuor här och där brukar onekligen få scripten att fungera, men det vore helt klart trevligt att få till någorlunda tydlig isolering mellan de olika webbarna.

mpm-itk kör ju, som det står på dess hemsida, som root "until the request is parsed and the vhost determined", hur farligt är det?
Hur mycket är det som händer innan vhosten är utpekad?
Exemplet de ger, där man får möjlighet att mata mod_ssl, körd som root, med något olämpligt låter ju lite läskigt...
Som jag förstår det försöker MPM-ITK droppa de flesta av sina root-rättigheter så fort det startats, men vissa måste den behålla för att kunna byta användare.

En bugg i MPM-ITK eller i Apache kan helt klart göra så någon får root-åtkomst, men samtidigt är risken rätt liten. Det är en avvägning du själv får göra.

lazat 2009-11-16 21:32
Citat:
Ursprungligen postat av emilv (Inlägg 20331474)
Som jag förstår det försöker MPM-ITK droppa de flesta av sina root-rättigheter så fort det startats, men vissa måste den behålla för att kunna byta användare.

En bugg i MPM-ITK eller i Apache kan helt klart göra så någon får root-åtkomst, men samtidigt är risken rätt liten. Det är en avvägning du själv får göra.
Installera suPHP finns som paket för de flesta distar..

emilv 2009-11-17 09:20
Citat:
Ursprungligen postat av lazat (Inlägg 20331624)
Installera suPHP finns som paket för de flesta distar..
Det lider dock av samma risk för root-hål som MPM-ITK.


Alla tider är GMT +2. Klockan är nu 07:05.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson