[Risolto] Gestione permessi webserver

[snipershady]

Ho un problema di permessi sul webserver e non riesco a capire cosa stia sbagliando.
(macchina dedicata, ovviamente)
Vengo al dunque

Ubuntu 14.04
Kernel 3.19.2
Versione Apache 2.4.10
Versione PHP 5.5.9
mysql 5.6

apache si avvia come www-data

virtualhost impostato per
/home/UTENTE1/public_html

joomla 3.4.1 installato caricando i files da ftp come UTENTE1
i permessi sulla cartella risultano essere non idonei all'installazione.

sono COSTRETTO ad impostare chmod 777 (ORRORE) per poter riuscire ad installare joomla
e successivamente, se riporto le directory e files in 755(quindi senza neanche esser troppo precisi mettendo i files in 644), andando da backend di joomla in Sistema, Informazioni di sistema, permessi cartella, risultano tutti i files "non scrivibili".

Sposto il CHMOD in 775 (danto la scrittura anche ai gruppi)... non si risolve

Aggiungo UTENTE1 al gruppo www-data

Codice: Seleziona tutto

usermod -a -G www-data UTENTE1

ancora tutti i files "non scrivibil".

E' più che palese che per essere scrivibili questi files devono esser gestiti da "others"...
ci vogliono i permessi rwx anche per others

porto tutto su 777 e ovviamente il sito funzione, riesco ad installare mod etc...

Il problema non si pone solo con Joomla, ma anche con altri CMS come wordpress o phpbb
E' ovvio che ho sbagliato qualcosa nell'impostazione del webserver
cosa sbaglio?
Qualcuo sa darmi un suggerimento?


Grazie anticipatamente

[tunnel_net]

Non fai prima a cambiare l'owner dei file invece delle permission, io li ho tutti www-data:www-data e ho pronto uno script che lancio dopo eventuali smagheggi manuali per sistemare owner e permission per directory, per file, diversificando, quelli che vanno solo in read eccetera

[snipershady]

si be... non è la soluzione più sicura sul pianeta usare www-data come owner e poi a cosa serve fare i virtualhost, impostare la cartella /home/user
se poi devi fare chown www-data per tutti?
(nota ho anche cambiato l'ambiente bash di default per www-data, per sicurezza)

Codice: Seleziona tutto

cut /etc/passwd -d: -f1,7 |grep www-data

Codice: Seleziona tutto

www-data:/usr/sbin/nologin

Ecco il mio script di "ripristino permessi"

Codice: Seleziona tutto

#!/bin/bash
directory=755
files=644
find /home/USER1/public_html/v -type d -print0 | xargs -0 chmod $directory &
find /home/USER1/public_html/v -type f -print0 | xargs -0 chmod $files &

chown -R USER1:USER1/home/USER1/public_html

Però vorrei evitare di dover impostare tutto 777 per installare una cosa su Joomla (magari un aggiornamento) e poi dover reimpostare tutto.
E' ovvio che c'è un sistema più valido e che io stia percorrendo la strada sbagliata

[tunnel_net]

Non penso ci siano molte alternative io installo con sudo e poi sistemo owner e permessi, sui file ho uno script enorme perchè non sempre ho 644 ma anche solo 444 o 555, a seconda dei file, più altri bloccati in configurazione.

[snipershady]

sisi in realtà anche io ho sistemato un po' di confizioni per i files di configurazione (che diventano 444) etc

ad ogni modo, non credo che questa sia il modo corretto di operare.
Insomma, se prendi un servizio di hosting, anche il più economico, lento e fatiscente, non ti danno mica accesso a "permessi.sh" da avviare all'occorrenza

[tunnel_net]

Non so che dirti, io su web ho un prodotto, mantenuto da una comunità seria, all'installazione in automatico mi hanno analizzato il smb.conf e apportato le modifiche opportune e nel pacchetto c'era anche lo script per cambiare le permission ai file da usare dopo la manutenziome (installazioni di plugin aggiuntivi ecc., cambi release), non per le personalizzazioni amministrative fatte via web.
C'erano anche le spiegazioni dei motivi per cui certi file andavano protetti e i consigli per mettere il web "in sicurezza".
Da questo deduco, che la cosa non sia così strana.

[snipershady]

smb.conf ?

volevi rispondere a qualche altro topic?
Cosa c'entra smb.conf?
Di certo non installo né abilito condivisioni samba su un webserver!!!!

[snipershady]

problema risolto... by myself...

[tunnel_net]

httpd.conf obviously, si parlava di web

[tokijin]

problema risolto... by myself...

Se hai risolto modifica pure il titolo del primo post aggiungendo il prefisso [Risolto] e, non meno importante, spiega a tutti come hai fatto a risolvere

Ciao

[snipershady]

Scrivo la mia soluzione (che non è di sicuro la migliore)
magari qualche ESPERTO in ambito server, potrà scrivere qualcosa di più sensato (ecco perchè magari non andrebbe messa la tag RISOLTO

Codice: Seleziona tutto

#ho aggiunto www-data al gruppo di user1, avevo fatto il contrario per errore di sintassi 
usermod -a -G www-data UTENTE1 

#a questo punto ho assegnato nuovi permessi alla directory
chown user1:www-data public_html

#il tocco finale è impostare il chmod in modo che anche caricando materiale da user1 tramite ftp (o anche ssh), vengano mantenuti i permessi impostati 
chmod ug+s /home/user1/public

P.s. ho scritto all'inizio del topic apache 2.4.10
httpd.conf non esiste (o meglio, è inutilizzato) su apache 2.4.x

[tokijin]

Dai, rimettilo il [Risolto]
Il metodo che hai scritto ti ha permesso di risolvere, quindi è giusto marcare la discussione come risolta.
Chi in futuro leggerà la discussione subito capirà dal [Risolto] nel titolo che c'è una soluzione, la leggerà, leggerà anche le tue considerazioni

Scrivo la mia soluzione (che non è di sicuro la migliore)
magari qualche ESPERTO in ambito server, potrà scrivere qualcosa di più sensato
[...]

e poi deciderà se usare o no lo stesso metodo, sapendo comunque che a te ha funzionato

Ciao

[snipershady]

fatto!!
(scusami, ma come moderatore non hai la possibilità di farlo?)

Continuo a sperare in qualche suggerimento da qualcuno più esperto