In diesem Artikel möchten wir Ihnen die aktuell auf den WebHosting und WebServer Paketen verwendete Dateirechtestruktur erläutern. Auf Ihrem Paket können Sie unter den Punkt
Produktverwaltung - Ihr Produktbereich - Konfigurieren - Webspace & Nutzer - FTP-Zugänge
FTP-Zugänge einrichten. Dabei haben Sie die Wahl zwischen dem normalen FTP-Benutzer (ftp123456) und dem Webserver-Benutzer (wp123456). Standardmäßig ist der Webserver-Benutzer ausgewählt. Diese Einstellung bietet die größte Kompatibilität bei der Installation von Skripten und Anwendungen, da der Webserver immer Zugriff auf die hochgeladenen Inhalte hat.
Wenn Sie die Option für den Webserver-Benutzer deaktivieren, werden die Dateien mit dem normalen FTP-Benutzer hoch geladen. Dies kann dazu führen, dass Sie zunächst die Dateirechte der hochgeladenen Dateien ändern müssen, damit Ihre Skripte korrekt ausgeführt werden. Ausführlichere Informationen zu den verschiedenen Benutzern sowie Unterschiede zur zuvor verwendeten Rechtestruktur finden Sie nachfolgend.
Allgemeine Informationen zur Benutzerverwaltung und Dateirechten auf Servern
Grundsätzlich läuft jeder Dienst auf einem Server unter einem bestimmten Benutzer. Jeder Benutzer gehört mindestens einer Gruppe an. Dies ist bei der Betrachtung der Dateirechte ein wichtiger Punkt. Dateisysteme speichern neben dem Inhalt der Datei selbst noch weitere Informationen über die Daten, z.B. welcher Benutzer sie erstellt oder wann sie zum letzten Mal verändert wurde.
Bei unseren Paketen gehört jede Datei, welche auf dem Webspace gespeichert wird, genau einem Benutzer ("Owner") und einer Benutzergruppe ("Group"). Alle anderen ("Other") können aber gegebenenfalls auch auf die Dateien zugreifen. Über die Dateirechte wird festgelegt, wer eine Datei lesen, schreiben/ändern und ausführen darf. Diese Rechte werden vom Besitzer der Datei vergeben. Der Besitzer der Datei (und nur dieser) kann die Rechte auch jederzeit wieder ändern.
Ein kleines Beispiel: Die Datei "index.php" gehört Benutzer "A" (Owner). Benutzer "A" gehört der Gruppe "admin" (Group) an. Benutzer "B" gehört ebenfalls der Gruppe "admin" an. Dann gibt es noch einen Benutzer "C", welcher der Gruppe "users" angehört, nicht jedoch der Gruppe "admin". Der Benutzer A darf nun bestimmen, wer auf die Datei zugreifen darf. Der Benutzer "A" vergibt die Rechte so, dass er und die Gruppe, der er angehört, die Datei lesen und schreiben/ändern dürfen. Andere (Others) dürfen die Datei weder lesen noch schreiben/ändern. Benutzer "A" könnte also jederzeit auf die Datei zugreifen und Änderungen daran vornehmen. Benutzer "B" dürfte dies ebenfalls, da er der gleichen Gruppe wie Benutzer "A" zugehört. Benutzer "C" dürfte die Datei nicht lesen und auch nicht schreiben, da er weder der Besitzer der Datei ist noch der Gruppe "admin" zugehört
In der Dateiverwaltung im KIS könnte dieses Beispiel so aussehen:
| Dateiname | Rechte | Besitzer | Gruppe |
|---|---|---|---|
| index.php | 660 | A | admin |
Detaillierte Informationen über Unix-Dateirechte finden Sie hier: http://de.wikipedia.org/wiki/Unix-Dateirechte. Host Europe übernimmt für die Richtigkeit und die Aktualität der Inhalte keine Verantwortung.
Rechtestruktur unserer Pakete
Auf unseren Paketen wird der Webserver auf jedem Paket unter einem eigenen Benutzer ausgeführt. Dieser Benutzer wird WebServer-Benutzer genannt und ist nach dem Schema wp<paket-id> aufgebaut. Lautet Ihre Paket-ID zum Beispiel "123456", so heißt der Webserver-Benutzer "wp123456".
Dadurch ist es möglich, auch als Webserver-Benutzer Daten per FTP hochzuladen. Auf diese Weise haben die Daten den gleichen Besitzer (den Webserver-Benutzer) und können sowohl per FTP als auch vom Webserver (das bedeutet per Skript) gelesen und beschrieben/geändert werden. Eine Anpassung der Dateirechte nach dem Upload Ihrer Website bzw. Anwendung ist dadurch in der Regel nicht mehr notwendig. Bei der Verwendung des Webserver-Benutzers ist jedoch zu beachten, dass der Webserver immer Vollzugriff auf alle Dateien auf Ihrem Webspace hat. Falls Sie dies nicht wünschen, können Sie die Daten auch über den normalen FTP-Benutzer hochladen. In diesem Fall gehören die Daten dem FTP-Benutzer, der Webserver darf die Dateien in der Regel lesen, jedoch nicht beschreiben oder löschen.
Da sich in der Konfiguration jedoch der FTP-Benutzer und der Webserver-Benutzer in der gleichen Gruppe befinden, können Sie die Dateirechte für die Gruppe anpassen, damit der Webserver die Dateien beschreiben darf. Der Zugriff für andere kann komplett unterbunden werden.
Der Vorteil dieser Variante ist, dass Sie differenzierter den Zugriff des Webservers auf die einzelnen Dateien steuern können.
Der Nachteil ist, dass Sie auf vom Webserver erstellte Dateien gegebenenfalls erst durch eine Benutzerumstellung (über die Dateiverwaltung im KIS) zugreifen können.
| Hinweis |
Durch Wahl des FTP-Benutzers und spätere Anpassung der Zugriffsrechte, lässt sich die Sicherheits des Webspaces erhöhen. Wählt man etwa 770-Rechte genau für solche Verzeichnisse, in die Skripte Daten schreiben müssen (Beispiel: Upload-Verzeichnisse) und nimmt sonst 750-Rechte, können Dritte bei einer Sicherheitslücke Ihrer Skripte nur in die 770-Verzeichnisse Fremd-/Schadcode einbringen. Bei Wahl des Webserver-Benutzers müssen Sie jede Datei auf Ihrem Webspace auf Erwünschtheit bzw. Fremdveränderung prüfen.
| Wichtig |
Aus Sicherheitsgründen kann im Stammverzeichnis "/" nur mit dem FTP-Benutzer geschrieben werden!