Dateiberechtigung 777: bei cyon nicht nötig
Die Vergabe von 777 Berechtigungen ist auf unseren Systemen nicht nötig und führt zu einem Sicherheitsrisiko, da somit alle Benutzer auf einem System Schreibberechtigung für das Verzeichnis oder die Datei erhalten.
Weshalb dieser Blogpost?
Unseren Support erreichen regelmässig Anfragen, die in etwa folgendermassen lauten: «Mein Content Management System (CMS) meldet, dass die Berechtigungen für meine Dateien nicht stimmen. Das CMS funktioniert deshalb nicht.»
Leider ist diese Fehlermeldung bei vielen CMS irreführend, da die Prüfung der Dateiberechtigung nur anhand der klassischen Unix-Dateirechte durchgeführt wird. Das CMS prüft also beispielsweise nur, ob die Datei bzw. das Verzeichnis die Berechtigung 777 besitzt. Viele CMS überprüfen aber nicht, ob eine Datei bzw. ein Verzeichnis effektiv beschreibbar ist.
Auf unserer Infrastruktur wird PHP unter dem eigenen Benutzer ausgeführt (im Gegensatz zu vielen anderen Anbietern, bei denen PHP unter dem Benutzer des Webservers funktioniert). PHP hat damit bei uns bereits mit der Berechtigung 644 genügend Rechte, um Dateien zu verändern. Die Berechtigung 755 für Verzeichnisse genügt, damit ein CMS in das gewünschte Verzeichnis schreiben kann.
Wir korrigieren regelmässig zu hohe Berechtigungen auf unseren Systemen und werden in Zukunft noch weitere Mechanismen integrieren, damit Ihr Server vor schädlichen Dateien geschützt ist.
Bei Fragen zu diesem Thema steht Ihnen unser Support selbstverständlich gerne zur Verfügung.
Beteilige dich an der Diskussion
5 Kommentare
Zu beachten ist dass mit 644 weiterhin alle User des gleichen Systems Lesezugriff haben. Gerade bei Konfigurationsdateien mit MySQL Passwörtern o.ä. könnte dies zu Sicherheitsproblemen führen – Solche am besten mit 600 (oder gleich 400) vor fremden Zugriffen schützen.
achso. Jo, das hab ich gesehen. Meistens wenn jemand in der Contao Community nach einem Hoster sucht (respektive nach Meinungen) empfehle ich euch ;-) Ich sollte mich eigentlich auch schon lange mal für die Partnerschaft im Bereich Design anmelden … hehe.
@Silvano
Das ist bei jedem CMS ein wenig unterschiedlich. Meistens muss die entsprechende Funktion im Code auskommentiert werden.
Mit Contao hast Du auf jeden Fall eine gute Wahl getroffen :). Wir sind ja übrigens offizieller Contao-Partner.
Danke für diese Information. Ist eigentlich eine gute Überlegung mit dem eigenen Benutzer.
Um eine Supportanfrage zu verhindern, was kann man machen? Man müsste ja das Installerscript vom CMS ändern betreffend der Berechtigung.
Ach, bin ich froh das ich Contao verwende und es bei Euch so schön läuft ohne irgend ein Problem ;-)
Gibt es denn eine Liste für Contao-Administratoren, welche Dateien welche Berechtigungen bekommen sollten, damit man einerseits damit arbeiten kann, aber andererseits die Sicherheit höchstmöglich ist?