---

Allerførst skal jeg for god ordens skyld sige, at jeg er rimeligt
grøn, når det kommer til brugere, grupper og rettigheder: Jeg har
ikke meget erfaring med det.

Til sagen...

Jeg har to brugere på mit FreeBSD system, som jeg benytter. Den ene
er root og den anden er lars. Jeg kører også en webserver (Apache13).
Jeg (brugeren lars) er ham der administrerer webserveren, så lige nu
har jeg /usr/home/lars/www/data/ hvor filerne ligger. Jeg har lavet
et symlink kaldet /usr/local/www/data/ (som er der hvor Apache leder
efter index-siden) til /usr/home/lars/www/data/.

Men...

For det første synes jeg ikke det er så kønt. Altså jeg ved godt at
jeg er webadministrator, så det på sin vis berettiger at filerne
ligger hos mig, men alligevel kunne jeg måske godt tænke mig at de
havde sin egen mappe i /usr/home/. *Netop* /usr/home/ fordi jeg
betragter dét, som det sted hvor alle mine uvurderlige filer ligger.
Når jeg har dem alle samlet dér, er det jo nemt at tage backup.

For det andet vil jeg gerne køre 'chmod o-rx' på /usr/home/lars/, så
fremtidige brugere ikke kan se mine filer. Men da Apache kører som
brugeren www, vil serveren da ikke længere virke, hvis filerne ligger
i /usr/home/lars/.

For det tredje kunne man måske også tænke sig, at jeg ikke vedblev at
være den eneste webadministrator, og så ville det jo være helt hen i
vejret, hvis samtlige disse skulle have mit kodeord (eller roots for
den sags skyld!).

Så det er tre (gode?) grunde til at lave det om.

Det kan godt være at nogle af jeg vil tænke "det kan sguda være
ligemeget, bare læg det i /usr/local/www/data/ og husk at tage
backup", men jeg vil gerne lave det ordenligt, så jeg også selv er
tilfreds med det.

Hvad er jeres idéer - hvordan organiserer jeg det?

---

Den Tue, 6 Jun 2006 17:51:01 +0200 skrev Lars Stokholm:
> Allerførst skal jeg for god ordens skyld sige, at jeg er rimeligt
> grøn, når det kommer til brugere, grupper og rettigheder: Jeg har
> ikke meget erfaring med det.
>
> Til sagen...
>
> Jeg har to brugere på mit FreeBSD system, som jeg benytter. Den ene
> er root og den anden er lars. Jeg kører også en webserver (Apache13).
> Jeg (brugeren lars) er ham der administrerer webserveren, så lige nu
> har jeg /usr/home/lars/www/data/ hvor filerne ligger. Jeg har lavet
> et symlink kaldet /usr/local/www/data/ (som er der hvor Apache leder
> efter index-siden) til /usr/home/lars/www/data/.

Undgå symlinks, sæt Apache op til at kigge direkte i den mappe
du vælger.

> Men...
>
> For det første synes jeg ikke det er så kønt. Altså jeg ved godt at
> jeg er webadministrator, så det på sin vis berettiger at filerne
> ligger hos mig, men alligevel kunne jeg måske godt tænke mig at de
> havde sin egen mappe i /usr/home/. *Netop* /usr/home/ fordi jeg
> betragter dét, som det sted hvor alle mine uvurderlige filer ligger.
> Når jeg har dem alle samlet dér, er det jo nemt at tage backup.

/usr/home/www er vel ledig, brugeren www eksisterer allerede, men bør
for mig at se have /dev/null som home directory. Så på den måde kan
det slet ikke konflikte med en fremtidig bruger.

> For det andet vil jeg gerne køre 'chmod o-rx' på /usr/home/lars/, så
> fremtidige brugere ikke kan se mine filer. Men da Apache kører som
> brugeren www, vil serveren da ikke længere virke, hvis filerne ligger
> i /usr/home/lars/.

En anden løsning kunne være o-r, og beholde x bit'en. Så kan folk ikke
lave en ls, men godt cd ind i www-mappen. Det er sådan det virker med
$HOME/public_html. Men når du overvejer at give vennerne en www-mappe også,
vil jeg klart foretrække første løsning.

> For det tredje kunne man måske også tænke sig, at jeg ikke vedblev at
> være den eneste webadministrator, og så ville det jo være helt hen i
> vejret, hvis samtlige disse skulle have mit kodeord (eller roots for
> den sags skyld!).
>
> Så det er tre (gode?) grunde til at lave det om.

Jeps.

> Det kan godt være at nogle af jeg vil tænke "det kan sguda være
> ligemeget, bare læg det i /usr/local/www/data/

Tvært imod, så gav du mig lige en god ide til omstrukturering af
min egen www-mappe. (Selvom det er Linux og thttpd, fremfor
FreeBSD og Apache).

Mvh
Kent
--
Fodbold: TV-udsendelse i stil med myrekrig, bare endnu mere kedeligt.
Derfor burde det naturligvis også sendes på samme tidspunkter, efter
normale menneskers sengetid.

---

On 2006-06-06, Kent Friis <nospam@nospam.invalid> wrote:
> Undgå symlinks, sæt Apache op til at kigge direkte i den mappe
> du vælger.

Okay, will do.

> /usr/home/www er vel ledig, brugeren www eksisterer allerede, men bør
> for mig at se have /dev/null som home directory. Så på den måde kan
> det slet ikke konflikte med en fremtidig bruger.

Ja, det virker også som den mest oplagte løsning for mig. Jeg er som
sagt ikke så meget inde i det, så det kunne godt være der var nogle
betænkeligheder ved den, som jeg ikke kunne tænke mig til.

Men så har jeg tænkt mig at give brugeren 'www' hjemmet /usr/home/www/,
sætte ejerskabet til www:webadmin og rettighederne til 660 eller noget
i den stil. Brugere der så får lov at være webadministratorer kommer i
webadmin-gruppen. Hvordan lyder det?

Eller også kunne jeg lave en ny bruger 'webadmin', give den hjemmet
/usr/home/www/, givet mappen ejerskabet webadmin:www og sætte rettig-
hederne til 640. Det virker måske mere logisk. Hjemmet burde vel have
samme navn som brugeren, men jeg bryder mig ikke om at kalde den
webadmin - for det er jo egentlig ikke særligt sigende for mappen.

Jeg kan ikke se skoven for bar træer nu...

> En anden løsning kunne være o-r, og beholde x bit'en. Så kan folk ikke
> lave en ls, men godt cd ind i www-mappen. Det er sådan det virker med
> $HOME/public_html. Men når du overvejer at give vennerne en www-mappe også,
> vil jeg klart foretrække første løsning.

Ja, jeg foretrækker også den første (af en art). Men jeg kendte faktisk
ikke public_html, så tak for at bringe det på banen. :)

> Tvært imod, så gav du mig lige en god ide til omstrukturering af
> min egen www-mappe. (Selvom det er Linux og thttpd, fremfor
> FreeBSD og Apache).

Nå okay, det er jeg glad for at høre. :)

---

Den Tue, 6 Jun 2006 19:52:21 +0200 skrev Lars Stokholm:
> On 2006-06-06, Kent Friis <nospam@nospam.invalid> wrote:
>> Undgå symlinks, sæt Apache op til at kigge direkte i den mappe
>> du vælger.
>
> Okay, will do.
>
>> /usr/home/www er vel ledig, brugeren www eksisterer allerede, men bør
>> for mig at se have /dev/null som home directory. Så på den måde kan
>> det slet ikke konflikte med en fremtidig bruger.
>
> Ja, det virker også som den mest oplagte løsning for mig. Jeg er som
> sagt ikke så meget inde i det, så det kunne godt være der var nogle
> betænkeligheder ved den, som jeg ikke kunne tænke mig til.
>
> Men så har jeg tænkt mig at give brugeren 'www' hjemmet /usr/home/www/,

I /etc/passwd bør www's home dir stadig være sat til /dev/null (jeg
går ud fra det er det den er nu?), ligesom shell'en.

> sætte ejerskabet til www:webadmin og rettighederne til 660 eller noget
> i den stil.

Nej, www må så vidt overhovedet muligt ikke have andet end læse-
rettigheder. Umiddelbart bør folk vel selv stå som ejer af deres
filer.

> Brugere der så får lov at være webadministratorer kommer i
> webadmin-gruppen. Hvordan lyder det?

Hvis vi snakker om deciderede administratorer, der skal have log
til at rette i andres filer, så fint. Men du bør ikke give alle
og enhver der har en www-mappe webadmin gruppen, når du giver
webadmin read+write.

Bemærk iøvrigt at folk kan være i flere grupper, så du behøver
ikke ændre deres primære gruppe.

Hvis du holder fast i webadmin, bør mapperne nok være chmod 2775,
root.webadmin (user.webadmin for undermapper), og filerne
664 user.webadmin. 2-tallet på mapperne (IKKE filerne!) angiver
at filer (og undermapper) der oprettes (af andre end root) automatisk
får webadmin som gruppe.

> Eller også kunne jeg lave en ny bruger 'webadmin', give den hjemmet
> /usr/home/www/, givet mappen ejerskabet webadmin:www og sætte rettig-
> hederne til 640. Det virker måske mere logisk. Hjemmet burde vel have
> samme navn som brugeren, men jeg bryder mig ikke om at kalde den
> webadmin - for det er jo egentlig ikke særligt sigende for mappen.

Jeg mener stadig at brugerne selv skal være ejer af deres filer,
medmindre de slet ikke skal have mulighed for at logge ind, og
du ligger filer ind for dem.

>> En anden løsning kunne være o-r, og beholde x bit'en. Så kan folk ikke
>> lave en ls, men godt cd ind i www-mappen. Det er sådan det virker med
>> $HOME/public_html. Men når du overvejer at give vennerne en www-mappe også,
>> vil jeg klart foretrække første løsning.
>
> Ja, jeg foretrækker også den første (af en art). Men jeg kendte faktisk
> ikke public_html, så tak for at bringe det på banen. :)

Det er den der svarer til http://host/~username/

Mvh
Kent
--
Fodbold: TV-udsendelse i stil med myrekrig, bare endnu mere kedeligt.
Derfor burde det naturligvis også sendes på samme tidspunkter, efter
normale menneskers sengetid.

---

On 2006-06-06, Kent Friis <nospam@nospam.invalid> wrote:
>> Men så har jeg tænkt mig at give brugeren 'www' hjemmet /usr/home/www/,
>
> I /etc/passwd bør www's home dir stadig være sat til /dev/null (jeg
> går ud fra det er det den er nu?), ligesom shell'en.

Faktisk står den til /nonexistent.

> Hvis vi snakker om deciderede administratorer, der skal have log
> til at rette i andres filer, så fint. Men du bør ikke give alle
> og enhver der har en www-mappe webadmin gruppen, når du giver
> webadmin read+write.

Jeg tror du har misforstået. Der er kun tale om at jeg skal hoste
ét websted. Det er altså ikke sådan at hver bruger skal have deres
egen www-mappe, men snarere sådan at én www-mappe skal have flere
brugere. Kunne jeg få dig til at kommentere mine to forslag igen,
med det i tankerne? :)

Mit problem kan vel koges ned til valget mellem disse rettigheder
på /usr/home/www/:


Løsning 1:
webadmin:www og 640: Én webadministrator. De brugere der evt. skal
deles om ansvaret for websiden får udleveret koden til webadmin-
brugeren. Jeg kan ikke li' denne her løsning, fordi det er umuligt
at fratage webadministratorer deres rettigheder igen.

Løsning 2:
www:webadmin og 460: webadmin er nu en gruppe. De brugere der evt.
skal deles om ansvaret for websiden, bliver medlem af webadmin-
gruppen. Jeg kan egentlig godt li' denne her løsning, fordi det er
let at fratage webadministratorer deres rettigheder. Men jeg ved
ikke hvor meget jeg bryder mig om at www nu står som "brugeren" på
en mappe og tilmed ikke har skriverettigheder. Det virker omvendt.
Desuden virker det også underligt, at www-brugeren ikke får hjem i
/home/usr/www/, men jeg kan godt se at det ikke er nødvendigt.


Og så er der en ting ved brugere og grupper jeg ikke fatter. Hvor-
for er det ikke muligt at give en mappe ejerskabet editors:users
(for at give et meningsfuldt eksempel), hvor editors er en gruppe
af redaktører og users er en gruppe af brugere? Det er vel en
generalisering af det jeg faktisk er ude efter (webadmins:www,
hvor begge er grupper). Rettighederne vil da naturligt være 640.

---

On 2006-06-06, Lars Stokholm <this@is.invalid> wrote:
> Og så er der en ting ved brugere og grupper jeg ikke fatter. Hvor-
> for er det ikke muligt at give en mappe ejerskabet editors:users
> (for at give et meningsfuldt eksempel), hvor editors er en gruppe
> af redaktører og users er en gruppe af brugere? Det er vel en
> generalisering af det jeg faktisk er ude efter (webadmins:www,
> hvor begge er grupper). Rettighederne vil da naturligt være 640.

Måske skulle jeg have spurgt "ER det muligt?". :) Giver det mening?

---

Den Tue, 6 Jun 2006 21:34:43 +0200 skrev Lars Stokholm:
> On 2006-06-06, Lars Stokholm <this@is.invalid> wrote:
>> Og så er der en ting ved brugere og grupper jeg ikke fatter. Hvor-
>> for er det ikke muligt at give en mappe ejerskabet editors:users
>> (for at give et meningsfuldt eksempel), hvor editors er en gruppe
>> af redaktører og users er en gruppe af brugere? Det er vel en
>> generalisering af det jeg faktisk er ude efter (webadmins:www,
>> hvor begge er grupper). Rettighederne vil da naturligt være 640.
>
> Måske skulle jeg have spurgt "ER det muligt?". :) Giver det mening?

Med unix-rettigheder: Nej.

Access Control Lists skulle i teorien kunne lade sig gøre på visse
unix-systemer, men der må jeg henvise til manualen. Almindelige
unix-rettigheder dækker 98% af tilfældene, og ACLs er så komplicerede
at på systemer der bruger dem, ender de fleste med at logge ind som
Administrator

Mvh
Kent
--
Fodbold: TV-udsendelse i stil med myrekrig, bare endnu mere kedeligt.
Derfor burde det naturligvis også sendes på samme tidspunkter, efter
normale menneskers sengetid.

---

Den Tue, 6 Jun 2006 21:31:19 +0200 skrev Lars Stokholm:
> On 2006-06-06, Kent Friis <nospam@nospam.invalid> wrote:
>>> Men så har jeg tænkt mig at give brugeren 'www' hjemmet /usr/home/www/,
>>
>> I /etc/passwd bør www's home dir stadig være sat til /dev/null (jeg
>> går ud fra det er det den er nu?), ligesom shell'en.
>
> Faktisk står den til /nonexistent.

Det må være lige så effektivt.

>> Hvis vi snakker om deciderede administratorer, der skal have log
>> til at rette i andres filer, så fint. Men du bør ikke give alle
>> og enhver der har en www-mappe webadmin gruppen, når du giver
>> webadmin read+write.
>
> Jeg tror du har misforstået. Der er kun tale om at jeg skal hoste
> ét websted. Det er altså ikke sådan at hver bruger skal have deres
> egen www-mappe, men snarere sådan at én www-mappe skal have flere
> brugere. Kunne jeg få dig til at kommentere mine to forslag igen,
> med det i tankerne? :)

Så kommer det an på om du ønsker de skal have forskelligt login
og password. Personligt ville jeg give dem hvert sit login, jeg
bryder mig ikke om delte passwords. Så 2775 på mapper og
664 på filer, med user.webadmin er nok den løsning jeg vil vælge.
Alternativt burde 6775 på mapper kunne give mulighed for at
sætte en bestemt bruger (fx dig) som ejer af filerne på samme
måde som 2775 for gruppen.

> Mit problem kan vel koges ned til valget mellem disse rettigheder
> på /usr/home/www/:
>
> Løsning 1:
> webadmin:www og 640: Én webadministrator. De brugere der evt. skal
> deles om ansvaret for websiden får udleveret koden til webadmin-
> brugeren. Jeg kan ikke li' denne her løsning, fordi det er umuligt
> at fratage webadministratorer deres rettigheder igen.

Og hvis nogen "kommer til" at give tredjemand passwordet, skal alle
lære nyt password.

> Løsning 2:
> www:webadmin og 460: webadmin er nu en gruppe. De brugere der evt.
> skal deles om ansvaret for websiden, bliver medlem af webadmin-
> gruppen. Jeg kan egentlig godt li' denne her løsning, fordi det er
> let at fratage webadministratorer deres rettigheder. Men jeg ved
> ikke hvor meget jeg bryder mig om at www nu står som "brugeren" på
> en mappe og tilmed ikke har skriverettigheder. Det virker omvendt.

Lad være med at sætte www som ejer af filerne. Brugeren www er
enhver idiot med en webbrowser, og idioter har det med at lave
uønskede ting med ens filer. Så www skal kun have r-- på filer og
r-x på mapper. (ejer er endnu bedre end rwx, det giver også mulighed
for at *ændre* rettigheder.

(Og inden du nu spørger, nej, en webserver giver ikke direkte
adgang til filoperationer. Men en lille fejlkonfiguration, eller
et exploit, så har man adgang).

> Desuden virker det også underligt, at www-brugeren ikke får hjem i
> /home/usr/www/, men jeg kan godt se at det ikke er nødvendigt.

Som forklaret ovenfor, skal www-brugeren have så lidt rettigheder
som muligt. Et home-dir er noget man bruger når man logger ind, og
det skal www absolut ikke have lov til.

> Og så er der en ting ved brugere og grupper jeg ikke fatter. Hvor-
> for er det ikke muligt at give en mappe ejerskabet editors:users
> (for at give et meningsfuldt eksempel), hvor editors er en gruppe
> af redaktører og users er en gruppe af brugere? Det er vel en
> generalisering af det jeg faktisk er ude efter (webadmins:www,
> hvor begge er grupper). Rettighederne vil da naturligt være 640.

Det er det bare ikke. (Jeg har også selv overvejet visse situationer
hvor det kunne være relevant, men jeg mener ikke det er det i dit
tilfælde. Du har kun en gruppe der er interessant, ejer er i
princippet ligegyldig).

Mvh
Kent
--
Fodbold: TV-udsendelse i stil med myrekrig, bare endnu mere kedeligt.
Derfor burde det naturligvis også sendes på samme tidspunkter, efter
normale menneskers sengetid.

---

On 2006-06-06, Kent Friis <nospam@nospam.invalid> wrote:
> Så kommer det an på om du ønsker de skal have forskelligt login
> og password. Personligt ville jeg give dem hvert sit login, jeg
> bryder mig ikke om delte passwords. Så 2775 på mapper og
> 664 på filer, med user.webadmin er nok den løsning jeg vil vælge.
> Alternativt burde 6775 på mapper kunne give mulighed for at
> sætte en bestemt bruger (fx dig) som ejer af filerne på samme
> måde som 2775 for gruppen.

Okay, efter en del roderi (jeg er ret forvirret, men det begynder
at hjælpe på det) er jeg kommet frem til /usr/home/www/ med 6774
og root:webadmin. Men...


# id
uid=0(root) gid=0(wheel) groups=0(wheel), 5(operator)
# pwd
/usr/home
# mkdir www
# chown root:webadmin www
# chmod 6774 www
# ll | grep www
drwsrwxr-- 2 root webadmin 512 Jun 6 23:32 www

> id
uid=1001(lars) gid=1001(lars) groups=1001(lars), 1004(webadmin)
> pwd
/usr/home/www
> touch test
> ll
total 0
-rw-r--r-- 1 lars webadmin 0 Jun 6 23:32 test


Sidste linje havde jeg ønsket/forventet var:

-rw-rw-r-- 1 root webadmin 0 Jun 6 23:32 test
^^^^^^^^^^ ^^^^

Altså at ejeren var root samt at gruppen havde skriverettigheder
til test-filen. Hvorfor er det ikke sådan? Kan jeg få det sådan?

--
Lars - som er ret mørbanket nu... :)

---

Den Tue, 6 Jun 2006 23:59:35 +0200 skrev Lars Stokholm:
> On 2006-06-06, Kent Friis <nospam@nospam.invalid> wrote:
>> Så kommer det an på om du ønsker de skal have forskelligt login
>> og password. Personligt ville jeg give dem hvert sit login, jeg
>> bryder mig ikke om delte passwords. Så 2775 på mapper og
>> 664 på filer, med user.webadmin er nok den løsning jeg vil vælge.
>> Alternativt burde 6775 på mapper kunne give mulighed for at
>> sætte en bestemt bruger (fx dig) som ejer af filerne på samme
>> måde som 2775 for gruppen.
>
> Okay, efter en del roderi (jeg er ret forvirret, men det begynder
> at hjælpe på det) er jeg kommet frem til /usr/home/www/ med 6774
> og root:webadmin. Men...

Skal være 6775 på mapper. 5 = read (ls) + execute (cd, åbne filer
og undermapper). Ellers kan apache ikke få fat i dem.

> # id
> uid=0(root) gid=0(wheel) groups=0(wheel), 5(operator)
> # pwd
> /usr/home
> # mkdir www
> # chown root:webadmin www
> # chmod 6774 www
> # ll | grep www
> drwsrwxr-- 2 root webadmin 512 Jun 6 23:32 www
>
>> id
> uid=1001(lars) gid=1001(lars) groups=1001(lars), 1004(webadmin)
>> pwd
> /usr/home/www
>> touch test
>> ll
> total 0
> -rw-r--r-- 1 lars webadmin 0 Jun 6 23:32 test
>
>
> Sidste linje havde jeg ønsket/forventet var:
>
> -rw-rw-r-- 1 root webadmin 0 Jun 6 23:32 test
> ^^^^^^^^^^ ^^^^
>
> Altså at ejeren var root samt at gruppen havde skriverettigheder
> til test-filen. Hvorfor er det ikke sådan? Kan jeg få det sådan?

Det ser ud til at jeg har bildt dig noget ind set*id virker
kun for gruppen, ikke for ejer (så 6775 giver det samme som 2775), og
rettighederne bliver kun group writable hvis UMASK tillader det, hvilket
kan være et problem da den også gælder alle andre filer brugeren opretter.

Mvh
Kent
--
Fodbold: TV-udsendelse i stil med myrekrig, bare endnu mere kedeligt.
Derfor burde det naturligvis også sendes på samme tidspunkter, efter
normale menneskers sengetid.

---

On 2006-06-07, Kent Friis <nospam@nospam.invalid> wrote:
> Det ser ud til at jeg har bildt dig noget ind set*id virker
> kun for gruppen, ikke for ejer (så 6775 giver det samme som 2775), og
> rettighederne bliver kun group writable hvis UMASK tillader det, hvilket
> kan være et problem da den også gælder alle andre filer brugeren opretter.

Narj hvor luset. Hvordan skal flere brugere (i en gruppe) så deles om
skriverettigheder til en bunke filer? For ja, jeg har absout ikke lyst
til at lave om på umask.

---

Den Wed, 7 Jun 2006 22:38:02 +0200 skrev Lars Stokholm:
> On 2006-06-07, Kent Friis <nospam@nospam.invalid> wrote:
>> Det ser ud til at jeg har bildt dig noget ind set*id virker
>> kun for gruppen, ikke for ejer (så 6775 giver det samme som 2775), og
>> rettighederne bliver kun group writable hvis UMASK tillader det, hvilket
>> kan være et problem da den også gælder alle andre filer brugeren opretter.
>
> Narj hvor luset. Hvordan skal flere brugere (i en gruppe) så deles om
> skriverettigheder til en bunke filer? For ja, jeg har absout ikke lyst
> til at lave om på umask.

Godt spørgsmål. Jeg var helt sikker på at den lavede dem g+w sidst
jeg checkede, men enten husker jeg forkert, eller også er det lavet
om.

Mvh
Kent
--
Fodbold: TV-udsendelse i stil med myrekrig, bare endnu mere kedeligt.
Derfor burde det naturligvis også sendes på samme tidspunkter, efter
normale menneskers sengetid.