Zusätzliche Gruppe zu Shell-User hinzufügen

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von sven.esser2, 7. Jan. 2016.

  1. sven.esser2

    sven.esser2 New Member

    Hallo zusammen,

    ich habe ein Problem bei der Konfiguration eines Shell-Users.
    Ich hätte gerne, dass der von ISP-Config angelegte Shell-User zusätzlich die Gruppe "www-data" zugewiesen bekommt, sodass dieser Dateien die vom Web-User erstellt wurden bearbeiten/löschen darf.
    Über das Interface kann man nur eine Gruppe angeben. Wenn ich über die Konsole zusätzliche Gruppen zuweise, werden diese ignoriert.
    Hat da schon jemand Erfahrungen mit gemacht?

    Vielen Dank und Grüße
     
  2. Till

    Till Administrator

    Du willst Dir also eine Sicherheitslücke einbauen? Würde ich ja nicht machen... Warum soll der www-data User bitte auf die Dateien des Webs schreibend zugreifen können denn allse Scripte des jeweiligen webs laufen doch unter dem User des webs, Du kannst also problemlos CMS Systeme mit ihren eigenen Updatern aktualisiere etc, denn nichts davon läuft als www-data, www-data wird auf einem ISPConfig server nur für den lesenden Zugriff benötigt damit apache z.B. Bilder des Webs ausliefern kann und das it über die Mitgliedschaft des www-data Users in der web Gruppe sichergestellt.
     
  3. Till

    Till Administrator

    Vielleicht noch eine kleine Ergänzung: Die shell User die Du in ISPConfig anlegst sind aliase des web users (sie teilen sich also die selbe numerische uid), das bedeutet dass Du mit dem shell user auf alle Dateien zugreifen kannst die dem web gehören, das selbe gilt für den FTP User aund unter der selben uid laufen auch die PHP und cgi scripte des webs (dank suexec das per default an ist), es gibt also bereits vollen zugriff. Falls das bei Dir nicht funktioniert hast Du entweder einen falschen PHP Modus (mod_php sollte nie genutzt werden, standard ist php-fcgi oder Du nimmst php-pm) und suexec muss an sein, was auch per default der Fall ist.
     
  4. sven.esser2

    sven.esser2 New Member

    Vielen Dank schon mal für die Erklärungen.
    Vielleicht werde ich noch etwas präziser:
    Ich benutze Python-Django und möchte einen Management-Command als CronJob laufen lassen, der Dateien löscht, welche vom User www-data angelegt wurden. Dieser CronJob wird als web-X (also als ISP-Config Shell User) ausgeführt. Leider kann dieser die "www-data"-Dateien nicht löschen, da er nicht die korrekte Berechtigung hat. Daher die Idee, dem Shell-User die Gruppe "www-data" hinzuzufügen. Der User www-data an sich soll keine zusätzlichen Berechtigungen bekommen.
    Anscheinend scheint ISP-Config die zusätzlichen Gruppenzuordnungen zu überschreiben. Mit "groups web-X" bekomme ich die korrekten Gruppen angezeigt. Mit "groups" nur eine einzige. Auch ein erneuter login hat nichts gebracht.
    Ich freue mich über weitere Kommentare.
     
  5. Till

    Till Administrator

    ISPConfig überschreibt an sich nichts bei den Gruppen, die stehen ja nur in /etc/passwd und group drin und werden von ispconfig auch nur mit den üblichen Linux tools useradd etc. bearbeitet. webX sind die Userd es webs, in ISPConfig angelegte Shell user haben einen eigenen Namen, teilen sich aber die UID mit dem webX user. Hast Du mal überlegt den apache mpm-itk zu installieren? Der wird auch von ISPConfig unterstützt und dann laufen ja alle Module des apache unter dem user des webs, wenn python also als apache modul läuft dann würde ich vermuten dass die durch django angelegten dateien dann auch dem richtigen web user und nicht mehr www-data gehören.
     
  6. logifech

    logifech Member

    @Till welche vorteile bietet das Modul mpm-itk eigentlich alles genau? Und wi ekann ich das Modul unter einer bestehen ISPConfig Installation mit Debian 8 nachinstallieren?
     
  7. Till

    Till Administrator

    mpm-itk startet eine mysql prozess instalz unter dem User des webs. Vorteil: alle module also auch z.B. mod_php laufen als Web User. Nachteil: Deutlich höherer Ressourcenverbrauch, da ja jeder vhost einen eigenen apache prozess am Laufen hat. Daher würde ich es nicht einsetzen wenn nicht unbedingt nötig.

    Installation: einfach mit apt nstallieren und apache neu starten müsste reichen.
     

Diese Seite empfehlen