Hallo zusammen,
ich benötige eure Hilfe bei der korrekten Berechtigung eines Verzeichnisses im Apache WebRoot.
Ich möchte auf meinem Server ein kleines privates Soziales Netzwerk betreiben in dem Familie und Freunde Bilder, Videos usw. austauschen können.
Die Seite ist nur mit Login erreichbar und es gibt keine offene Registrierung. Es kann nur per Einladung teilgenommen werden.
Das Script ist in PHP geschrieben und habe ich über Envato/codecanyon gekauft.
Ich habe dazu ein neues Verzeichnis in /var/www angelegt - > /var/www/mysite
Die Berechtigung habe ich wie folgt gesetzt:
/var/www/mysite -> owner: root group: www-data -> Berechtigung 750
Alle Dateien und Unterordner haben ebenso "owner: root" und "group: www-data".
Die Verzeichnisse sind mit 750 berechtigt, alle Dateien mit 640.
Nun die erste Frage. Ist das soweit korrekt berechtigt?
1. sollte ich den owner von root zu einem andren User ändern? Ich bin der einzige, der den User administriert.
2. ist es problematisch meinen User mit in die www-data Gruppe aufzunehmen, damit ich in den Verzeichnissen lesen kann?
Nun kommen wir zum 2. Punkt.
Da die User natürlich auch Bilder und Videos hochladen sollen, gibt es einen Ordner uploads (in /var/www/mysite/uploads).
Darunter befinden sich dann die Ordner für Bilder, Videos, Sounds usw.
Hier können die User im Moment nichts hochladen, da die Berechtigung wie oben beschrieben gilt und somit www-data nicht schreiben darf.
Die Frage lautet nun, wie vergebe ich hier die Berechtigung korrekt, dass www-data schreiben darf aber die Sicherheit nicht leider.
Ich hätte jetzt für jeden Unterordner unter "uploads" (also Bilder, Videos, Sounds) mit der Berechtigung 770 ausgestattet. Damit darf auch www-data in diese Verzeichnisse schreiben.
Nun klappt auch das hochladen von Bildern usw. über die Webseite. Allerdings werden dann Unterordner angelegt
/var/www/mysite/uploads
---- Bilder
---- 2018
----- 02
Diese Verzeichnisse werden vom Webserver angelegt und haben dann folgende Berechtigung:
Verzeichnisse: www-data:www-data (anstatt root:www-data) mit 755 Berechtigung
Dateien: www-data:www-data (anstatt root:www-data) mit 644 Berechtigung
Ist das in Ordnung? Wie würde ich es hinbekommen, dass neue Unterordner und DAteien auch mit root:www-data und den Berechtigungen 750 (Verzeichnisse) und 640 (Dateien) angelegt werden?
Ich hatte schon mit setfacl und getfacl gearbeitet und versucht mit umask die Berechtigung für neue Ordner und Dateien zu realisieren. Bin aber leider gescheitert.
Für Hilfe wäre ich sehr dankbar.
Gruß
Steffen