Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.38 veröffentlicht (30.04.24)


Benutzer, die gerade dieses Thema anschauen: 2 Gast/Gäste
Ich kann´s nicht glauben: CHMOD wirklich auf 777 setzen???
#1
Soll man tatsächlich manche Ordner und Dateien mit CHMOD auf 777 setzen? Das heißt doch eigentlich, dass dann jeder von außerhalb diese Dateien lesen kann, z. B. die config.php, in der u. a. die Passwörter stehen.

Außerdem gibt man damit Schreibrechte, sodass dort Scripte usw. aufgespielt werden können, oder habe ich da irgendwas übersehen oder falsch verstanden?

Ich hätte gedacht, dass man alle Ordner auf 755 setzt und alle Dateien auf 644, wobei ich die config.php eigentlich sogar auf 640 setzen würde.

Weiß dazu jemand etwas?

LG
Gerdi Smile
#2
(26.10.2010, 03:43)Gerdi schrieb: Das heißt doch eigentlich, dass dann jeder von außerhalb diese Dateien lesen kann, z. B. die config.php, in der u. a. die Passwörter stehen.

In einem ordentlichen Host-Setup gibt es keine dritte Partei außerhalb vor der man sich schützen müsste bzw. das wird schon auf höherer Ebene blockiert. Da gibt es nur dich, deine Scripte, deine Dateien, und da muss natürlich config.php lesbar sein damit dein MyBB an deine Datenbank herankommt. Ansonsten wenn der Host mies konfiguriert ist und du nicht zufällig dein eigener Host bist, dann hast du da eh keinen Einfluß drauf und dann hilft dir auch CHMOD nix.

(26.10.2010, 03:43)Gerdi schrieb: Außerdem gibt man damit Schreibrechte, sodass dort Scripte usw. aufgespielt werden können, oder habe ich da irgendwas übersehen oder falsch verstanden?

Ja, natürlich, wenn du Schreibrechte verteilst können dort auch Dateien geschrieben werden. Anders können Avatare, Attachments, editierbare CSS- und Language-Files aus dem Admin-CP, Backups, etc. nicht funktionieren.

(26.10.2010, 03:43)Gerdi schrieb: Ich hätte gedacht, dass man alle Ordner auf 755 setzt und alle Dateien auf 644, wobei ich die config.php eigentlich sogar auf 640 setzen würde.

Du kannst das halten wie du willst, nur funktionieren muss es halt. config.php muss am Ende lesbar sein und cache/upload/backup-Ordner schreibbar.

Du kannst dann sicher in diesen schreibbaren Ordnern die Ausführung von Scripten abstellen (bei Apache mit .htaccess), so daß dort jemand der dein Forum hackt, keine Scripte dort ablegen kann. Aber bei MyBB ist das sowieso möglich über Language Files und Templates, die beliebigen PHP-Code ausführen können. Jeder, der Zugang zum Admin CP hat, kann auch darüber deine Webpräsenz hacken, auch ohne Schreibzugriff auf irgendwelche Dateien.

Das hat dann aber nichts mit chmod und "von außerhalb" zu tun sondern das bist dann du selber bzw. deine eigenen Scripte über die das läuft.

Was also viel wichtiger ist als das CHMOD, ist daß niemand dein Admin CP Passwort herausfindet und natürlich daß in den öffentlich zugänglichen Scripts auch keine Sicherheitslücken drinnen sind.
#3
Der Grund dafür ist, dass der FTP-Benutzer, der die Dateien erstellt, nicht mit dem Benutzer des HTTP-Servers übereinstimmt. Und da das MyBB selber auf die Dateien zugreifen muss, müssen die Rechte aus Sicht des FTP-Benutzers erweitert werden.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
#4
Die CHMOD frickelei entfällt wenn dein Host den erstellten FTP-Benutzern die UID des Benutzer "www-data" zuweisen würde. Falls du dein eigener Hoster bist eine Alternative.
#5
Hallo frostschutz,

vielen Dank für deine Antwort
(26.10.2010, 12:43)frostschutz schrieb:
(26.10.2010, 03:43)Gerdi schrieb: Ich hätte gedacht, dass man alle Ordner auf 755 setzt und alle Dateien auf 644, wobei ich die config.php eigentlich sogar auf 640 setzen würde.

Du kannst das halten wie du willst, nur funktionieren muss es halt. config.php muss am Ende lesbar sein und cache/upload/backup-Ordner schreibbar.

Ja aber wahrscheinlich nur für die Skripte, d. h. die zweite Zahl (Rechte für den Server bzw. seine Skripte) muss bei den von dir genannten Ordnern eine 7 sein. also z. B. 774, alle anderen Ordner würde ich auf 5 setzen, also z. B. 755 und die config auf 640, damit sie von außen (öffentlich) nicht gelesen werden kann (also eine Null an dritter Stelle).

Was meinst du?

Liebe Grüße Smile
Gerdi


Möglicherweise verwandte Themen…
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Berechtigungen ( CHMOD ) gehen nicht ! Ich habe keine ahnung 6 2.491 16.06.2009, 19:46
Letzter Beitrag: Ich habe keine ahnung
  CHMOD-Einstellungen nicht beschreibbar YesterdayHope 5 2.615 27.05.2009, 23:30
Letzter Beitrag: Michael
  Trotz CHMOD 777 keine Uploads möglich Chemist 5 2.765 14.08.2008, 13:01
Letzter Beitrag: Chemist
  MyBB Wirklich Sicher? Will wieder zurück... Danach einige Fragen ;) Aki 4 3.235 04.08.2008, 23:18
Letzter Beitrag: Aki