Beste Zugriffsrechte für Webordner

[Lumio]

Ich wusste nicht, wie ich das Thema nennen soll.
Jedenfalls ist mir ein kleines missgeschick passiert. Und zwar wollte ich verhindern, dass jeder auf jeden zugreifen kann. Also das Benutzer web_x auf die Dateien und Ordner von web_y zugreifen kann und umgekehrt. Aus diesem Grund habe ich die Ordner auf 0700 gesetzt. Ein grosser Fehler, wie ich bemerkt habe, da nun Apache nicht mehr zugreifen konnte.
Also habe ich sie auf 0755 gesetzt, doch iwie bin ich mir unsicher, ob das so gut ist.

Wenn wir gerade beim Thema sind... gibt es eine Möglichkeit Benutzer voneinander abzugrenzen, jedoch so, dass Apache und andere Dienste noch darauf zugreifen können?
Und welcher Zugriffsmodus ist am besten für derartige Ordner?

 

[T-One]

Um Apache im Usercontext der verschiedenen Benutzer laufen zu lassen kannst du fastCGI oder suPHP verwenden, damit lässt sich auch der Zugriff der Benutzerordner untereinander beschränken.

www.suphp.org
www.fastcgi.com

 

[supersucker]

Oder auch mit ACLs arbeiten, wenn du damit nicht auskennst dürfte das allerdings - ähm - aufwändig werden.

 

[Lumio]

äh... ich verwende suexec und fastcgi... es geht allein darum, dass wenn ich nur den Benutzer darauf zugreifen lasse, dass dann Apache nicht mitspielt, da Apache selbst ja als www-data läuft.

 

[marce]

wie wäre es mit $USER:$GRUPPE_DES_APACHE? Und dann 640 bzw. 750?

 

[Lumio]

Dann können ja wieder alle Benutzer die sich in der Gruppe befinden darauf zugreifen.

 

[marce]

und warum sollte ein normaler User in der Gruppe des Webservers sein?

 

[Lumio]

achso... jetzt versteh ichs... das is allerdings ne gute idee
Jedoch wenn ichs nun auf 0750 setz, kommt wieder die "Forbidden" Meldung... obwohl die www-data die Gruppe wär.

Sorry, mein Fehler, das Problem lag daran, dass ich nicht alle unterordner und dateien der Gruppe www-data zugewiesen habe.