Rechte für website/site/default/files und Unterordner? 777 oder 775?

Das hängt von Deiner Serverkonfiguration ab und kann nicht allgemein beantwortet werden. 775 kann unter bestimmten Randbedingungen ausreichend sein. 777 sollte aber auf jeden Fall funktionieren (und steht auch so in den Drupal Installationsanweisungen). Dabei daran denken, auch die Unterordner mit einzubeziehen.

Beste Grüße
Werner

Vielen DAnk
Grüße max

Ich hab das selbe Problem. Was ich nicht verstehe ist, dass doch immer gesagt wird dass man die Schreibrechte für sites/default/files nach der Installation wieder enfernen soll also doch 775 was ja nicht funktioniert..

Nein, nach der Installation gibt es den Hinweis die Schreibrechte auf die settings.php wieder zu entfernen, nicht die auf den files-Ordner.

Hallo Werner ,

würde diese Rechtevergabe ein Sicherheitsrisiko darstellen in einer Live-Umgebung darstellen? (ist hier jetzt meine dev-Umgebung).

Nur nochmal zu meinem Verständnis:

• Soweit ich weiss wird in der Installationsanleitung geraten, das files-Verzeichnis mit 777 auszustatten. Gilt das nur für diesen einen Ordner oder auch für alle seine Unterordner?
• Welche Rechte bekommen einzelne Dateien innerhalb der "files"-Ordnerstruktur? Auch 777, damit drupal sie löschen/erstellen/verschieben kann?

Bei meiner Drupalsite sollen User später selber Bilder hochladen können. Diese werden aber nicht direkt im files-Verzeichnis, sondern in einem Unterordner abgelegt.

Die 777 gilt für das files-Verzeichnis und alle Unterordner.

Danke für deine Antwort Werner. Und welche Rechte sollten die Dateien haben, die in den Ordnern liegen? Problem bei mir ist, hab aus versehen die Dateirechte meiner Ordner/Unterordner geändert und versuche die Ordner bzw. Unterordner inkl. der darin enthaltenen Dateien neu zu "justieren".

Setze die Rechte in Files-Ordner rekursiv auf 777. Bei Dateien reicht dort eigentlich 666, aber alle Ordner brauchen definitiv die 777. Letztlich hängt es ein wenig vom generellen Setup ab, ob 777 wirklich benötigt wird. Drupal sperrt aber seit Version 7.24 über den .htaccess-File die Execution von Scripten im im files-Ordner und darunter. Daher ist 777 schon ok.

Danke :)

Sorry, wenn ich mich erst so spät in die Diskussion einschalte. Zugriffsrechte rekursiv auf 777 oder 666 zu setzen zeigt mir, dass die Installation mangelhaft ist. Ich gehe mal von einem LAMP System aus. Solche Zugriffsrechte bedeuten, dass jedermann/frau alles mit den Dateien/Verzeichnissen machen kann. Sicherheit ist nicht auf Username/Password beschränkt - es ist wie eine Zwiebel: vielschichtig.

Warum braucht es den Zugriffschutz 777 oder 666? Nur der Webserver braucht Zugriff auf die Daten. Basta. Ansonsten jeder, der Zugriff auf das System hat, die Dateien nach belieben manipulieren kann. User/Web-Daten und -Verzeichnisse sollten *NIE* 777 oder 666 Zugriffsschutz haben.

Sofern der Daten-Eigentümer korrekt gesetzt ist (owner=webserver) und keine sensitiven Daten gespeichert werden, genügt ein 755 auf Verzeichnisse und 644 auf Daten. Wenn das "files" Verzeichnis aber nicht dem Webser gehört, ist das wiederum eine andere Sache und man müsste nicht nur den Zugriffsschutz hinterfragen sondern die gesamte Installation.

Gruss & good luck
-- Beat

Die Wirklichkeit bei Webpaketen ist nun mal nicht so einfach wie Du sie Dir vorstellst. Bei dem eigenen Server kannst Du die Rechte passend aufsetzen. Bei einem Webpaket haben aber der FTP-User, der Daten hochschiebt und der die Filestruktur anlegt und damit der Owner ist, und der Web-Server-Prozess in der Regel unterschiedliche Usernamen und Gruppen-Zugehörigkeit. Dann bleibt nur noch, die Rechte auf 777 zu setzen, denn der Provider ist in der Regel nicht gewillt, für das einzelne Webpaket ein spezielles Setup bereit zu stellen. Wenn PHP als CGI/FastCGI eingesetzt wird ist das wieder anders, deshalb habe ich anfangs gesagt, das es keine allgemeine Aussage geben kann. Auf dem Webpaket hast Du außerdem keine normalen User und deshalb finde ich Dein "Basta" etwas voreilig.

Ja, ich bin mir bewusst, dass ich etwas radikal mit meiner Aussage "basta" war. In der Diskussion ging es nicht um spezifische Webpakete und FTP. Es gibt unendlich viele Varianten (und Probleme) bei einer Software Installation. Bis jetzt habe ich aber immer eine Lösung gefunden, mich nicht "nackt" dem Internet preisgeben zu müssen.

Zugriffsrecht 777 für Dateien (respektive Rechner), die den Kontakt zum Internet haben, ist für mich aber ein klares NoGo! Es ist immer auch eine Frage des Preises, den man gewillt ist, für Sicherheit zu bezahlen. Damit meine ich nicht nur Fränkli oder Euros sondern vor allem Komplexität und Zeitaufwand für die Konfiguration. Heute sind Virtual Server mit Root-Zugriff günstig zu haben, also spricht nichts gegen ein "chown -R". Je nach FTP Version kann man auch entsprechende User (=WebserverUser) setzen.

Es ist immer schwierig auf allgemeine Fragen eine allgemein gültige Antwort zu geben. Aber du hast schon recht, mit Zugriffsrecht 777 kann man sich Probleme ersparen, holt sich dafür aber eventuell andere an Bord ... wichtig ist, dass man sich der Tragweite bewusst ist.

Hallo zusammen,
danke für eure Posts. Habe auch ein sehr mulmiges Gefühl bei chmod 777, da ich von Linux her weiß, was es bedeuten kann. Lasse sehr ungern in der Öffentlichkeit meine "virtuellen Hosen" runter ;) .
Leider kann ich, meines Wissens, bei meinem Hoster (http://www.bytecamp.net) keinen chown durchführen. Die Server dort laufen auf FreeBSD und jeder User hat "seine" Dateien mittels ACL's geschützt. Ein Rootjail benutzen die glaub ich auch. Leider sind die Info's hierzu auf der Website nicht (mehr) abrufbar.
Viele Unterordner (nicht alle) in meinem Files-Verzeichnis konnte ich zumindest mal auch mit 775 am laufen halten. Meinen derzeitigen Hoster finde ich eigentlich echt okay. Möchte die Sicherheit meiner Website aber auch nicht auf die leichte Schulter nehmen. Bei Webhostlist hab ich auch schon mal gesucht aber als Server-Laie bin ich echt überfordert ;-) Am liebsten wäre mir ein managed server, das wird aber nicht bezahlbar sein vermute ich. Kannst du mir evtl. einen guten Anbieter für einen vHost oder einen Rootserver empfehlen? Möchte eigentlich nicht mehr als 10 € monatlich ausgeben für meinen reinen Webspace & DB (habe dann noch ein paar Domains als Alias-Domains eingerichtet).

Danke schon jetzt :)

Viele Grüße
Philipp

Hallo Beat,

Ich teile Deine Meinung voll und ganz, zumal ich die Probleme hatte die Du erwähnst. Gesetzt waren folgende Rechte: 755 auf Verzeichnisse und 644 auf Dateien. Und trotzdem ist es gelungen Script-Dateien in einzelne Modulordner zu schreiben. Ich vermute mal dass dies über ein nicht gut genug validiertes Formular gelungen ist. Vielleicht kennst Du das Modul "Security review". Es ermöglicht eine Übersicht über "Schwachstellen" im Verzeichnisbaum. Das Modul hat nun erst "Ruhe gegeben" als ich sämtlichen Verzeichnissen und Dateien die W-Rechte entzogen habe. In meiner Installation steht nun alles auf 555 bzw. 444.

Sorry wenn ich Dich da einfach voll quatsche, aber ich benötige eine qualifizierte Meinung und die denke könntest Du haben.
Reicht das nun nicht eigentlich aus? Ich bin versucht nun auch alle anderen Installationen die ich vorliegen habe mit diesen Rechten zu versehen.

Herzlichen Dank für ein kurzes Statement!
Besten Gruss
Rene

Du solltest immer auf dem Laufenden sein. Hast Du nicht von dem kritischen Update auf 7.32 gehört und daß alle Seiten, die nicht innerhalb von 6 Stunden den Patch eingespielt oder den Update gemacht hatten, Opfer von Hackern wurden? Lies doch bitte den zugehörigen Thread durch. http://www.drupalcenter.de/node/51973

Hallo Werner,

Da war ich schon ein bisschen weiter... :).Die Installationen laufen alle schon auf 7.34. Sorry, das habe ich nicht erwähnt...
Da wohl die wenigsten innerhalb von 6 Std. patchen konnten, habe ich dies doch unmittelbar in den Tagen danach gemacht. Ausserdem wurden alle Installationen komplett neu aufgesetzt, bzw. aus dem Backup wieder hergestellt. Da ich das beruflich mache, kann ich es mir nicht erlauben Thread's wie den von Dir erwähnten zu übersehen. Trotzdem sind Fehler passiert und das soll nicht mehr sein.

Besten Danke für den Hinweis.

Wie ist im übrigen Deine Meinung zu meiner Frage?

Grüsse
Rene