[Gerdi]

Soll man tatsächlich manche Ordner und Dateien mit CHMOD auf 777 setzen? Das heißt doch eigentlich, dass dann jeder von außerhalb diese Dateien lesen kann, z. B. die config.php, in der u. a. die Passwörter stehen.

Außerdem gibt man damit Schreibrechte, sodass dort Scripte usw. aufgespielt werden können, oder habe ich da irgendwas übersehen oder falsch verstanden?

Ich hätte gedacht, dass man alle Ordner auf 755 setzt und alle Dateien auf 644, wobei ich die config.php eigentlich sogar auf 640 setzen würde.

Weiß dazu jemand etwas?

LG
Gerdi

[frostschutz]

Das heißt doch eigentlich, dass dann jeder von außerhalb diese Dateien lesen kann, z. B. die config.php, in der u. a. die Passwörter stehen.

In einem ordentlichen Host-Setup gibt es keine dritte Partei außerhalb vor der man sich schützen müsste bzw. das wird schon auf höherer Ebene blockiert. Da gibt es nur dich, deine Scripte, deine Dateien, und da muss natürlich config.php lesbar sein damit dein MyBB an deine Datenbank herankommt. Ansonsten wenn der Host mies konfiguriert ist und du nicht zufällig dein eigener Host bist, dann hast du da eh keinen Einfluß drauf und dann hilft dir auch CHMOD nix.

Außerdem gibt man damit Schreibrechte, sodass dort Scripte usw. aufgespielt werden können, oder habe ich da irgendwas übersehen oder falsch verstanden?

Ja, natürlich, wenn du Schreibrechte verteilst können dort auch Dateien geschrieben werden. Anders können Avatare, Attachments, editierbare CSS- und Language-Files aus dem Admin-CP, Backups, etc. nicht funktionieren.

Ich hätte gedacht, dass man alle Ordner auf 755 setzt und alle Dateien auf 644, wobei ich die config.php eigentlich sogar auf 640 setzen würde.

Du kannst das halten wie du willst, nur funktionieren muss es halt. config.php muss am Ende lesbar sein und cache/upload/backup-Ordner schreibbar.

Du kannst dann sicher in diesen schreibbaren Ordnern die Ausführung von Scripten abstellen (bei Apache mit .htaccess), so daß dort jemand der dein Forum hackt, keine Scripte dort ablegen kann. Aber bei MyBB ist das sowieso möglich über Language Files und Templates, die beliebigen PHP-Code ausführen können. Jeder, der Zugang zum Admin CP hat, kann auch darüber deine Webpräsenz hacken, auch ohne Schreibzugriff auf irgendwelche Dateien.

Das hat dann aber nichts mit chmod und "von außerhalb" zu tun sondern das bist dann du selber bzw. deine eigenen Scripte über die das läuft.

Was also viel wichtiger ist als das CHMOD, ist daß niemand dein Admin CP Passwort herausfindet und natürlich daß in den öffentlich zugänglichen Scripts auch keine Sicherheitslücken drinnen sind.

[StefanT]

Der Grund dafür ist, dass der FTP-Benutzer, der die Dateien erstellt, nicht mit dem Benutzer des HTTP-Servers übereinstimmt. Und da das MyBB selber auf die Dateien zugreifen muss, müssen die Rechte aus Sicht des FTP-Benutzers erweitert werden.

[NetHunter]

Die CHMOD frickelei entfällt wenn dein Host den erstellten FTP-Benutzern die UID des Benutzer "www-data" zuweisen würde. Falls du dein eigener Hoster bist eine Alternative.

[Gerdi]

Hallo frostschutz,

vielen Dank für deine Antwort

Ich hätte gedacht, dass man alle Ordner auf 755 setzt und alle Dateien auf 644, wobei ich die config.php eigentlich sogar auf 640 setzen würde.

Du kannst das halten wie du willst, nur funktionieren muss es halt. config.php muss am Ende lesbar sein und cache/upload/backup-Ordner schreibbar.

Ja aber wahrscheinlich nur für die Skripte, d. h. die zweite Zahl (Rechte für den Server bzw. seine Skripte) muss bei den von dir genannten Ordnern eine 7 sein. also z. B. 774, alle anderen Ordner würde ich auf 5 setzen, also z. B. 755 und die config auf 640, damit sie von außen (öffentlich) nicht gelesen werden kann (also eine Null an dritter Stelle).

Was meinst du?

Liebe Grüße
Gerdi