Fórum Ubuntu CZ/SK
Ostatní => Ubuntu Server => Téma založeno: lemur 15 Dubna 2012, 12:05:11
-
Zdravim,
mam VPS na ubuntu - kde mam nainstalovano mysql, apache, php / proste webserver. Vse administruji pres prikazovy radek (nemam ftp).
Na VPS mam nekolik webu na Joomle , ale prava slozek jsou nezapisovatelne(napr. pokud instaluji komponentu, modul atd.).
Pokud rucne nastavim chmod na 777 , tak vse funguje jak ma , ale pro me to je blbe reseni - porad nastavovat prava, jelikoz nemuzu chmod 777 nechat.
Hledal jsem tady na foru jak tohle resit, ale nenasel jsem odpoved.
Proto prosim nekoho, kdo by vedel jak tohle vyresit abychom nemusel porad prava slozek nastavovat rucne a bylo by to i bezpecne.
Klidne i za odmenu , ale abychom pak i ja vedel jak a co nastavit.
-
Máš správně nastaveného vlastníka a skupinu?
chown a chgrp zkus (pro nastaveni uzivatele tusim www).
Tohle mi pomohlo:
sudo su
chown www /var/www
chgrp www /var/www
chmod -R 660 /var/www
-
chmod +S /slozka
^^ man chmod a precti si co dela Sticky Bit, chova se to jako /tmp adresare
-
Máš správně nastaveného vlastníka a skupinu?
chown a chgrp zkus (pro nastaveni uzivatele tusim www).
Tohle mi pomohlo:
sudo su
chown www /var/www
chgrp www /var/www
chmod -R 660 /var/www
chown: invalid user: `www'
-
Máš správně nastaveného vlastníka a skupinu?
chown a chgrp zkus (pro nastaveni uzivatele tusim www).
Tohle mi pomohlo:
sudo su
chown www /var/www
chgrp www /var/www
chmod -R 660 /var/www
chown: invalid user: `www'
není uživatel www bude se asi jmenovat jinak www-data? podívejte se jaky uživatel je nastavený pro apache
-
Máš správně nastaveného vlastníka a skupinu?
chown a chgrp zkus (pro nastaveni uzivatele tusim www).
Tohle mi pomohlo:
sudo su
chown www /var/www
chgrp www /var/www
chmod -R 660 /var/www
prosim te netrap me .. jak muzes dat na slozku jen rw a ne x .. to potom do ni nemuzes vlezt
-
Máš správně nastaveného vlastníka a skupinu?
chown a chgrp zkus (pro nastaveni uzivatele tusim www).
Tohle mi pomohlo:
sudo su
chown www /var/www
chgrp www /var/www
chmod -R 660 /var/www
vse to chciplo :'(
Forbidden
You don't have permission to access / on this server.
-
j sorry, uz nemam www server, musis se podivat, jak se jmenuje user pro www (jak nekdo psal mozna www-data).
-
Máš správně nastaveného vlastníka a skupinu?
chown a chgrp zkus (pro nastaveni uzivatele tusim www).
Tohle mi pomohlo:
sudo su
chown www /var/www
chgrp www /var/www
chmod -R 660 /var/www
prosim te netrap me .. jak muzes dat na slozku jen rw a ne x .. to potom do ni nemuzes vlezt
přesně tohle jsem dělal, jen já 770 no, ale nevzpomínám si, že by došlo k nějakým potížím při chmod -R 660.
-
j sorry, uz nemam www server, musis se podivat, jak se jmenuje user pro www (jak nekdo psal mozna www-data).
user je www-data
spustil jsem to pro www-data a je to vse KO
chown www-data /var/www
chgrp www-data /var/www
chmod -R 660 /var/www a taky i 770
-
kluci vy me davate :D
> mkdir foo; ls -ld foo; chmod 660 foo; ls -ld foo; cd foo; rmdir foo
drwxr-xr-x 2 dpecka users 48 2012-04-15 14:29 foo
drw-rw---- 2 dpecka users 48 2012-04-15 14:29 foo
-bash: cd: foo: Permission denied
rakoskou na Vas :D
slozka musi mit vzdy +x aby jsi do ni mohl, default umask je 755 pro slozky a 644 pro soubory, trestuhodne neznate zaklady a odmitate zmacknout cudlik on/off ve prostred vasich celicek ..
zdravim, ntz
-
fanys: Datum registrace: 05 Květen 2010, 17:37:10
100x se styd v nejtemnejsi a nejhlubsi nore jako dokazes nalezt :D
-
Tak co mam ted prosim udelat ?
Mam tam 10 stranek :o
-
Tak co mam ted prosim udelat ?
Mam tam 10 stranek :o
Vrátit lidem peníze...
-
za co ?
moje stranky ;D
-
Tak co mam ted prosim udelat ?
Mam tam 10 stranek :o
mas prosim nastavit bud 770 se spravnym uzivatelem a skupinou a nebo 777 a +S (eg sticky bit) .. taky by sis mel prosim precist clanek na wiki kde jsou popsany naproste zaklady (essentials) prav v unixech.
ntz ;)
-
idealne mas mit prava 770 slozky a 660 soubory + spravneho vlastnika a skupinu ? pod cim ti bezi httpd daemon?
priklad u me s dhcpd:
# ps -ef | grep dhcpd
root 13453 809 0 14:41 pts/7 00:00:00 grep dhcpd
dhcpd 17191 1 0 Apr04 ? 00:00:00 /usr/sbin/dhcpd -chroot /var/lib/dhcp/ -lf /db/dhcpd.leases -user dhcpd -group nogroup
tady dhcpd bezi pod systemovym userem dhcpd s nasledujicima skupinama:
# passwd -S dhcpd; id dhcpd
dhcpd LK 03/07/2012 0 99999 7 -1
uid=105(dhcpd) gid=65534(nogroup) groups=65534(nogroup)
-
pokud zadam # ps -ef | grep dhcpd
root 2162 2111 0 14:44 pts/0 00:00:00 grep --color=auto dhcpd
-
pokud zadam # ps -ef | grep dhcpd
root 2162 2111 0 14:44 pts/0 00:00:00 grep --color=auto dhcpd
lemure :D .. svet se proti tobe spikl
vrat prosim lidem penize !!!
Tak co mam ted prosim udelat ?
Mam tam 10 stranek :o
Vrátit lidem peníze...
-
Omlouvam se.
Pujdu hledat problem jinde. Myslel jsem , ze zde odpoved najdu, jelikoz je zde forum "Podpora pro Ubuntu Server" a navic jsem nabizel financni ohodnoceni.
Nemam komu co vracet - moje weby.
ntz_reloaded - dekuji aspon za nejaku radu :)
Pro -Tomáš Břinčil - muzete mi dat ban nebo prosim o smazani uctu - stejne zde jiz nepachnu. Jo a na blog na wordprese se obrazky v 700 kb nedavaji - dlouho se to nacitava - zde doporucuji http://www.neo.cz/books/www4green.html
Jen pro info - kde hledat problem
http://tools.pingdom.com/fpt/#!/eakLOVfen/http://blog.tomasbrincil.cz/
Hezky zbytek dne vsem ;)
-
Tady se řeší tvůj problém s právy, né můj blog.
Myslím, že jsi dostal od ntzeho více než dostačují rady, pokud máš problém tuto problematiku pochopit, tak doporučuji doplnit obrovskou mezeru na pomyslném žebříčku tvého skillu mezi stávající pozicí kde seš a mezi pozicí na kterou patří informace, kterou jsi zde po lopatě dostal.
-
lemure prober se a prestan bejt ukrivdenej :D
# ls -la /var/lib/dhcp/db/
total 8
drwxr-xr-x 2 dhcpd root 112 Apr 14 20:43 .
drwxr-xr-x 7 root root 200 Mar 7 10:51 ..
-rw-r--r-- 1 dhcpd nogroup 2793 Apr 14 20:43 dhcpd.leases
-rw-r--r-- 1 dhcpd nogroup 3066 Apr 14 20:43 dhcpd.leases~
^^ ach jo, dhcpd je jinej daemon a neni prekvapive ze u tebe nebezi .. tvuj daemon by se mel jmenovat httpd, s nim se potrebujes skamaradit .. priklad vyse je opet jen demonstace a ukazka, jak by ta prava mela vypada pro tvuj var/www a soubory a adresare v nem.
napoveda: muj daemon:
# passwd -S dhcpd; id dhcpd
dhcpd LK 03/07/2012 0 99999 7 -1
uid=105(dhcpd) gid=65534(nogroup) groups=65534(nogroup)
tvuj daemon:
# id $to_pod_cim_bezi_webserver
????????
-
dealne mas mit prava 770 slozky a 660 soubory + spravneho vlastnika a skupinu ? pod cim ti bezi httpd daemon?
Ideálně zrovna pro web 750 a 640 pokud počítáme že apache přistupuje jen přes skupinu. Nechceme přece aby nám mohly zapisovat do souborů. 770 adresáře jen tam kam opravdu zapsat může ( log, temp, files ...atd).
Jinak se stále dokola opakuje neochota naučit se alespoň základy fungování služeb, troubleshooting error logů a dalších základních znalostí.
-
Ideálně zrovna pro web 750 a 640 pokud počítáme že apache přistupuje jen přes skupinu. Nechceme přece aby nám mohly zapisovat do souborů. 770 adresáře jen tam kam opravdu zapsat může ( log, temp, files ...atd).
tam mas asi preklep protoze skupina ma zrovna v 750 g-w .. jinak uplne nejlepsi je dat pryc to zbytecne g-w a mit to 700/600 ;)
ta skupina se dava kvuli tomu, ze muzes mit do stejne skupiny lec s jinym userem napr pridane usery pod kteryma se spousti zalohovaci skripty, nejaka analyza var/www nebo dalsi helpery pro generovani html ktere primo nesposuti httpd ..
-
chmod 750 na adresář dává rw pro skupinu? To snad ne. 640 na soubor taky nedá write na pro skupinu.
webserver prostě nesmí zapisovat mimo adresář kam mu povolím a ošetřím si co tam bude dělat. Samozřejmě s použitím mpm-itk nebo suexec je ta situace trochu jiná, ale rozhodně bych to neřešil globálním 700/600.
-
chmod 750 na adresář dává rw pro skupinu? To snad ne. 640 na soubor taky nedá write na pro skupinu.
:D taky koukam ze mas lehce co dohanet .. zapisovat se da i g+w a g-w
myslel jsem tim, ze kdyz mas g-w (tedy x5x pro adresare a x4x pro soubory), tak je zbytecne aby na skupine vubec nejaka prava byla (v nasem pripade jen pro cteni)
-
dovolím si tvrdit že do souboru s 640 skupina nezapíše.
-
dovolím si tvrdit že do souboru s 640 skupina nezapíše.
ale dyk nic takoveho nerikam !!!! :D
-
fanys: Datum registrace: 05 Květen 2010, 17:37:10
100x se styd v nejtemnejsi a nejhlubsi nore jako dokazes nalezt :D
Ano, opravdu se stydím, vždyť to je ostuda, chtěl jsem pomoci a místo toho v těch příkazech nasekám chyby - první je to, že se nejmenuje www , ale www-data a ta druhá s chmodem - pro složky opravdu potřeba x (já používal u sebe chmod 777 /var/www/* , proto se nevyskytly problémy).
Omlouvám se za způsobenou potíž :( , jediné, co mne snad trochu omlouvá je to, že server s Ubuntu už 6 měsíců nemám, něco se mi z paměti vytratilo :D
-
Ale ano.
chmod 750 na adresář dává rw pro skupinu? To snad ne. 640 na soubor taky nedá write na pro skupinu.
taky koukam ze mas lehce co dohanet .. zapisovat se da i g+w a g-w
Od začátku mluvím pouze o skupině, protože webserver nemá co vlastnit soubory.
-
dealne mas mit prava 770 slozky a 660 soubory + spravneho vlastnika a skupinu ? pod cim ti bezi httpd daemon?
Ideálně zrovna pro web 750 a 640 pokud počítáme že apache přistupuje jen přes skupinu. Nechceme přece aby nám mohly zapisovat do souborů. 770 adresáře jen tam kam opravdu zapsat může ( log, temp, files ...atd).
Jinak se stále dokola opakuje neochota naučit se alespoň základy fungování služeb, troubleshooting error logů a dalších základních znalostí.
coze ??? v 750 znamena prvni cislo 7 vlastnika, druhe cislo 5 skupinu a treti others.
nechapu proc by webserver nemel vlastnit soubory, viz muj priklad s dhcpd
edit: chapu, ty jako nechces aby si httpd mohl menit sve soubory, aby je mel jen ro .. no to nevim jestli je dobrej napad ;) .. mezi instanci /var/www a jeho chrootem je zasadni rozdil ;)
eg opet priklad dhcpd:
# id dhcpd; ls -l /var/lib/dhcp
uid=105(dhcpd) gid=65534(nogroup) groups=65534(nogroup)
total 0
drwxr-xr-x 2 dhcpd root 112 Apr 15 17:06 db
drwxr-xr-x 2 root root 96 Apr 4 14:24 dev
lrwxrwxrwx 1 root root 15 Mar 7 10:51 dhcpd.leases -> db/dhcpd.leases
drwxr-xr-x 3 root root 280 Mar 7 10:51 etc
drwxr-xr-x 2 root root 400 Apr 4 14:24 lib
drwxr-xr-x 3 root root 72 Mar 7 10:37 var
dhcpd ma chroot ro aby nemohlo dojit k nejakemu exploitu a zmenit konfiguraci zatimco instanci ma rw, stejne jako by mel mit instanci rw httpd a svuj chroot/root (je to jedno) ro .. prosim povsimni si, ze k zapisu pres skupinu nemuze v prikladu vyse dojit, ale logika je jak rikam
-
Proč by měl vlastnit ? Data jsou většinou uživatelská, takže patří jinému uživateli, pokud se to řeší přes chown www-data, tak se pak zase objevují topici že tam nejde zapsat přes ftp atd, proto to řeším vstupen apache do user skupiny.
Ano nechci aby si webserver mohl měnit soubory pokud mu to přesně nedovolím a to proto že bych musel 100 procentně věřit kvalitě a neprůstřelnosti www kodu, což z principu nedůvěřuji. Proto to řeším způsobem kdy webserver přistupuje k souborům jako skupina kde je defaultně povolen jen read, a write omezen na nutné adresáře, rozhodně ne globálně. Chroot nepovažují za jednoznačně bezpečné řešení, ale pokud je to v kaskádě dalších omezení tak je jen dobře.
Vpřípadě použití mpm-itk nebo fastcgi+suexec je pak 500/400 a omezeně 700/600.
Možná jsem paranoidní a zbytečně si přidělávám práci ale to neznamená že po mě nejdou. :D
Koukám že p. Lemura jsme asi odrovnali.
-
Proč by měl vlastnit ? Data jsou většinou uživatelská, takže patří jinému uživateli, pokud se to řeší přes chown www-data, tak se pak zase objevují topici že tam nejde zapsat přes ftp atd, proto to řeším vstupen apache do user skupiny.
.....
Možná jsem paranoidní a zbytečně si přidělávám práci ale to neznamená že po mě nejdou. :D
^^ chapu a nic proti tomu nemam, ackoliv ja takto paranoidni nejsem a apachi docela verim ... ja typicky pouzivam apache chrootovanyho (jedine) a necham si pres vyse zminene skupiny cesticku k nemu do chrootu/instance napr pro zalohovaci skripty nebo nejake dalsi roboty. Pokud neexistuje po tomto pozadavek, je mozne a samozrejme z hlediska bezpecnosti lepsi, mit tam vyse zminene ro pro i samotneho apache
jen pro tvou informaci - takto paranoidni jsem v pripade tomcatu/glassfishe a javovskych obludnosti .. tam nastavuju prislusny *war ro
-
Tomu zcela rozumím a v tomhle mi to nepřijde ani paranoidní.
-
no. zrovna jsem uvazoval, ze se zetpam na neco podobnyho, ale kdyz vidim, jak jste lemura zastrelili u zdi, tak se mi do toho moc nechce ::)
ale zkusim to:
na serveru je 10 uzivatelu. vsechny prava ke slozkam a souborum maji nastaveny korektne, neni zadny problem.
a ted:
pokud uzivatel nainstaluje cokoliv z interniho one-click scriptu, treba wordpress, vse funguje tak, jak ma. pristupy jsou nastaveny korektne, nikde zadny zadrhel, vlastnikem je 'www-data', coz by melo sedet.
ovsem pokud nainstaluje wordpress jinak, nez pres script, vlastnik se zmeni. puvodni a spravny vlastnik 10006 [1005 group] je najednou 10012 [1005 group]. uzivatel nemuze nema prakticky k nicemu pristup - nemuze soubory kopirovat, mazat, proste nic...
cim to je?? diky a palte slabsi zbrani...
-
Co znamená nainstaluje wordpress jinak? Jak jsou vedeni uživatelé, jsou to reální linux users nebo virtuální?
-
realni uzivatele. pokud instalujou pres script, vsechno sedi. pokud si natahnou pres ftp svoji instalaci, pak maj prava jinak...