Hallo Leute ich habe auf meinem Server nginx mit php-fpm laufen und heute ist mir bei der Rechtevergabe der Vhosts was aufgefallen. Ich erkläre erstmal wie ich das alles vergeben habe: Die einzelnen Vhosts liegen im Ordner /var/www/vhosts/domainname
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | user@server:~$ ls -l /var/www/vhosts/ total 28 drwxr-xr-x 3 root root 4096 Jun 25 17:56 vhost1.eu drwxr-xr-x 5 root root 4096 Jul 15 17:29 vhost2.eu drwxr-xr-x 4 root root 4096 May 26 13:19 vhost3.eu drwxr-xr-x 4 root root 4096 Sep 7 23:59 vhost4.de drwxr-xr-x 4 root root 4096 May 1 15:35 vhost5.de drwxr-xr-x 4 root root 4096 Apr 30 11:41 vhost6.de drwxr-xr-x 5 root root 4096 Apr 26 22:03 vhost7.eu user@server:~$ ls -l /var/www/vhosts/vhost1.eu/ total 12 drwxr-x--- 7 www_vhost1 webroot 4096 Sep 8 15:38 htdocs drw------- 2 root root 4096 Mar 28 18:27 logs drwxr-x--- 2 www_vhost1 webroot 4096 Jul 15 17:35 subdomains |
Die Benutzer der einzelnen Vhosts heißen immer www_domainname und haben als Hauptgruppe webroot. www-data ist Mitglied von webroot, damit der Webserver die Dateien lesen kann. PHP wird immer über den Vhost-Account ausgeführt. Die Umask für die Vhosts lautet 0027.
Mein Ziel war es, dass normale Accounts nicht auf die Dateien der Vhosts zugreifen können (wegen Datenbankpasswörter usw.). Jetzt ist mir aber aufgefallen, dass so die Vhost-Accounts untereinander alles lesen können. Wie löst man das am besten?