Forum

[witti]

hallo zusammen!
nachdem ich in letzter zeit ein paar mal redaxo installiert und gestestet habe (und ich insgesamt sehr zufrieden damit bin, danke an die entwickler!!!) brauche ich unterstützung hinsichtlich dateirechten.

jedesmal wenn ich redaxo installiere bekomme ich während der installation immer wieder fehler dass bestimmte lese/schreib/ausführ-rechte gesetzt gehören.
ich hab eine weile in den foren und bei google gesucht und die dokumentation gelesen und konnte nicht herausfinden, welche ordner bzw. dateien welche rechte benötigen. (außer natürlich den fehlern die auftreten wenn etwas nicht passt)

wenn andere diese frage hier gestellt haben, war meistens die antwort, man soll den provider fragen was genau man ändern muss damit es funktioniert.
ich möchte aber im prinzip nur wissen, welche dateien schreibrechte benötigen.
die dokumentation sagt dazu nur, dass es in den meisten fällen funktioniert wenn man die rechte auf 755 stellt.

das hieße jedoch dass nur der eigentümer der datei alle rechte (inkl. schreiben) besitzt und die gruppe und alle anderen nur lese- und ausführ-rechte.
damit das funktionieren kann (damit der webserver dateien beschreiben kann), müssten alle dateien (der webseite) dem prozess des webservers (also meistens nobody) gehören, was aber aus gründen der sicherheit keinen sinn ergibt. denn wenn der webserver alle rechte auf die (alle) dateien der webseite hat, kann man ihm dateien unterschieben, verändern, löschen,..., was wiederum dem setzen von 777 gleichkommt.

hab ich da was übersehen?
oder fehlt einfach nur in der dokumentation bzw. dem setup der hinweis welche dateien welche rechte benötigen?
wie habt ihr das bei euren seiten gemacht?

danke + vlg, witti

[mina30de]

Es ist wirklich schade, dass hier auf solche interessanten und wichtige Fragen keiner der verantwortlichen Entwickler antwortet.
Ich habe hier im Forum gelesen, dass bereits Redaxo-Projekte gehackt wurden.
Anscheinend sind alle nur noch mit V4.2 beschäftigt. Oder steht für Euch Sicherheit nicht im Vordergrund?
Mich beschäftigt ein ähnliches Problem. Auch auf meine Anfrage wurde bis jetzt noch nicht geantwortet.
Und die Sicherheitstipps die unter Download, Wiki und Doku stehen sind auch nicht aussagekräftig diesbezüglich.

Gruß Mina

[Koala]

ich hab eine weile in den foren und bei google gesucht und die dokumentation gelesen und konnte nicht herausfinden, welche ordner bzw. dateien welche rechte benötigen. (außer natürlich den fehlern die auftreten wenn etwas nicht passt)

Das mit den Schreibrechten ist von Server zu Server verschieden.
Welche Ordner/Dateien mit dem "richtigen" Schreibrecht versehen werden müssen, sagen dir die Fehlermeldungen.
Um herauszufinden, welche Rechte benötigt werden, nimmst du dir das erste angemahnte Verzeichnis oder Datei vor und änderst die Schreibrechte Schrittweise solange, bis du eine passende Kombination gefunden hast (755 oder 775 oder 777) . Das gilt aber nur für Redaxoversionen < 4.2!
Wenn du das für eine Datei/Verzeichnis hast, musst du diese Einstellungen für alle genannten Verzeichnisse/Dateien verwenden.

Du kannst als Hilfe auch diesen Rechtetest versuchen.

[Ruediger.Nitzsche]

Ich habe hier im Forum gelesen, dass bereits Redaxo-Projekte gehackt wurden.
Anscheinend sind alle nur noch mit V4.2 beschäftigt. Oder steht für Euch Sicherheit nicht im Vordergrund?

Wie Sven schon geschrieben hat, gibt es da keine allgemeingültige Antwort. Am besten fährt man bei einem Hoster, der PHP als CGI laufen lässt. Das hat den Vorteil, das Web- und FTP-Nutzer unter einer Benutzerkennung laufen, damit werden generell geringere Zugriffsrechte benötigt. Ebenso brauch man solche Notpflaster wie safe_mode nicht zu aktivieren, da alle Prozesse unter der Kennung des Accounts laufen und damit nicht global Schaden anrichten können. Problem dieser Konfiguration ist die größere Last auf dem Server, damit können nicht so viele Kunden auf den Server gepackt werden. Wenn man dann noch die Möglichkeit hat, reg_globals und allow_url_fopen zu deaktivieren, ist man grundsätzlich auf der sicheren Seite (wenn man sich nicht mit einem Modul/Addon Sicherheitslücken öffnet). Uns ist mit dieser Konfiguration noch keine einzige Installation gehackt worden.

Rüdiger

[mina30de]

Hallo Koala,

wenn ich Deinem Link folge, lande ich nach der Anmeldung auf meinen Benutzerbereich Meine Add-Ons. Da steht natürlich nix drin, was hilfreich wäre.

Gruß Mina

[Ruediger.Nitzsche]

http://www.redaxo.de/180-0-addon-detail ... don_id=513 der sollte passen.

Rüdiger

[Koala]

wenn ich Deinem Link folge, lande ich nach der Anmeldung auf meinen Benutzerbereich Meine Add-Ons.

Danke. Von der falschen Seite kopiert