Permissions / Dateirechte beim Webhosting

  • Hallo,


    ich habe heute meinen ersten Webspace (Wordpress-Seite) von einem anderen Provider zum netcup Webhosting umgezogen.

    Eigentlich ging das recht problemlos - als ich dann endlich mal rausgefunden hatte, wie die Dateirechte zu setzen sind.

    Es gibt scheinbar keine Dokumentation (weder auf der Plesk Homepage noch bei netcup) wie die Rechte korrekt zu setzen sind. Oder habe ich was übersehen? Im wiki finde ich jedenfalls nichts außer der Info, dass Verzeichnisse keine 777-Rechte haben sollen.

    Das Einzige offizielle, was ich gefunden habe, ist https://docs.plesk.com/de-DE/o…dministrator-guide/68806/ aber da fehlen z.B. die Infos zu den Rechten für die Dateien im Stammverzeichnis.


    Deshalb hier mal was ich herausgefunden habe mit der Bitte um Info, falls was falsch ist und außerdem als Hilfe für alle anderen, denen es so wie mir ging:

    • Das Top-Level-Verzeichnis muss zur Gruppe `psaserv` gehören. Der einzige Weg, das hinzubekommen (den ich rausgefunden habe), ist es, im Control Panel den Pfad unter "Dokumentenstamm" einzustellen. Dann wird das Verzeichnis korrekt angelegt und es werden auch zwei Boilerplate-Dateien darin abgelegt.
    • In der Shell lässt sich das nicht anpassen, weil der `chgrp`-Befehl fehlt.
    • Das Top-Level-Verzeichnis soll den Modus 750 haben. (Also kein Zugriff für "other")
    • Alle darin enthaltenen Dateien und Verzeichnisse müssen zur Gruppe `psacln` gehören. (Geschieht automatisch, wenn man per ssh Dateien erstellt und auch der Server scheint dies als primary group zu haben.)
    • Die Dateien und Verzeichnisse benötigen keine Lese- oder x-Rechte für "Other".
    • Eine Ausnahme sind ausgerechnet die Datei `.htaccess` und ggf. ein AuthUserFile. Hat die `.htaccess` keine Leserechte für Other gibt es einen 403 (Warum???) und hat das AuthUserFile keine Leserechte für Other gibt es einen 500. Wenigstens darf es auch außerhalb des Dokumentenstamms liegen.
    • Aber Other-Rechte scheinen auch nicht zu stören und sind wohl sogar der Standard. Die umask ist z.B. 0022 in der Shell und wenn man z.B. in Wordpress eine Datei hochlädt, bekommt sie auch Leserechte für Other. Deshalb setzen wir sie halt mal überall...

    Ein kleines Skript, das die Dateirechte entsprechend setzt:

  • Nabend flomp,

    Es gibt scheinbar keine Dokumentation (weder auf der Plesk Homepage noch bei netcup) wie die Rechte korrekt zu setzen sind. Oder habe ich was übersehen? Im wiki finde ich jedenfalls nichts außer der Info, dass Verzeichnisse keine 777-Rechte haben sollen.

    Netcup gibt, wie du schon richtig erkannt hast, nur grundlegende Informationen bzw. Tipps zum sicheren Umgang mit dem eigenen Webspace Account im Wiki an.


    Die Bereitstellung der von dir genannten Informationen zu individuellen Software Lösungen seitens netcup bzw. plesk (externe Firma) ist aber wahrscheinlich allein schon durch die schiere Masse an verfügbarer Software nicht machbar.


    Deshalb hier mal was ich herausgefunden habe mit der Bitte um Info, falls was falsch ist und außerdem als Hilfe für alle anderen, denen es so wie mir ging:

    • Das Top-Level-Verzeichnis muss zur Gruppe `psaserv` gehören. Der einzige Weg, das hinzubekommen (den ich rausgefunden habe), ist es, im Control Panel den Pfad unter "Dokumentenstamm" einzustellen. Dann wird das Verzeichnis korrekt angelegt und es werden auch zwei Boilerplate-Dateien darin abgelegt.
    • In der Shell lässt sich das nicht anpassen, weil der `chgrp`-Befehl fehlt.
    • Das Top-Level-Verzeichnis soll den Modus 750 haben. (Also kein Zugriff für "other")
    • Alle darin enthaltenen Dateien und Verzeichnisse müssen zur Gruppe `psacln` gehören. (Geschieht automatisch, wenn man per ssh Dateien erstellt und auch der Server scheint dies als primary group zu haben.)
    • Die Dateien und Verzeichnisse benötigen keine Lese- oder x-Rechte für "Other".
    • Eine Ausnahme sind ausgerechnet die Datei `.htaccess` und ggf. ein AuthUserFile. Hat die `.htaccess` keine Leserechte für Other gibt es einen 403 (Warum???) und hat das AuthUserFile keine Leserechte für Other gibt es einen 500. Wenigstens darf es auch außerhalb des Dokumentenstamms liegen.
    • Aber Other-Rechte scheinen auch nicht zu stören und sind wohl sogar der Standard. Die umask ist z.B. 0022 in der Shell und wenn man z.B. in Wordpress eine Datei hochlädt, bekommt sie auch Leserechte für Other. Deshalb setzen wir sie halt mal überall...

    Ohne jetzt explizit auf deine genannten Erkenntnisse eingehen zu können (aktuell nur per Handy online): Wordpress selbst stellt für die Dateiberechtigung einen passenden Artikel bereit.