slacky.eu

Salve a tutti,

ho messo in funzione un pc che deve fare da server web/samba/ecc. in una rete di un piccolo ente pubblico e ovviamente mi sono servito della mia fida slackware64 in modalità solo testo. Ho configurato apache + php + mysql e fin qui tutto ok, ho installato joomla ma purtroppo ho problemi con i permessi da dare alle directory, o meglio tutto funziona solo se metto i permessi a 777 sulla directory /var/www/dovestajoomla....

Girovagando in rete penso di aver capito che il problema è nella gestione e nell' esecuzione (e quindi dei permessi) che apache esercita sul codice php. Al momento quindi l'interfaccia tra il server web e php è configurato come: apache 2.0 handler e invece deve essere settato come: cgi-fcgi come indicato qui



Avete qualche consiglio o qualche guida su come impostare questo parametro??? Grazie.

il permesso dipende da quale processo/user esegue l'app, normalmente se nn si e` paciugato col processmodel dovrebbe trattarsi dell'user apache, quindi la dir deve essere almeno attraversabile da lui, e i file/dirs interne leggibili ( ne consegue che se non hai messo uid o gid apache alla dir, richiederebbe il permesso a world.. )

un settaggio easy sarebbe con owner=root(o developer/cliente/ftpuser..), group=apache, mode 2770 dirs, e 0770 files

se si approfondisce il discorso, si puo` fare a meno del 7 sulla dir base, dato che il write gli serve solo in alcune subdir, ma se non si ha un sistema automatizzato gestire i perm cosi` e` un PITA totale.., e poi il problema e` un altro..

e` piu` importante tener fuori l'app dal resto del sistema... usa sempre la direttiva
php_admin_value open_basedir "/dir1:/dir2:/dirn"
nei vhost di ogni sito/app php (se ne puo` mettere piu` d'una perche` a volte, oltre alla propria dir possono necessitare anche di /tmp e/o della dir di upload php globale o altro in caso di app custom..)

Innanzitutto grazie per la risposta,

allora ho risolto così: owner = root, group = apache con i permessi come suggerivi tu, adesso funziona e il risultato è questo:



dovrebbe funzionare senza problemi, anche se voglio approfondire la questione dell'handler del cgi-fcgi. Difatti gestisco due siti web su aruba e sono entrambi settati come cgi-fcgi

così è chiaro che funziona, ma ci sono problemi di sicurezza. Rischi che una falla in prodotti come joomla, il cui codice è aperto, dia i privilegi ad apache di modificare e/o cancellare questi file, quindi di mettere qualunque cosa nella tua home page. Per questo motivo la regola è che apache abbia -ove non richiesto diversamente- i privilegi minimi di sola lettura. In questo caso forse dovresti dare i privilegi di scrittura alle sole directory tmp/ logs/ cache/ e alle directory dove joomla fa gli uploads (che non so quale possa essere.. media/ forse?), ma vedi meglio la documentazione di joomla.

cgi-fcgi serve ad aruba per mettere a disposizione degli utenti di uno stesso server varie versioni di php e di file di configurazione (php.ini), di modo che questi possano scegliere il php che meglio si adatta alle loro esigenze. La classica configurazione di apache/php come modulo consente infatti una sola versione di php utilizzabile.
Se può interessare tempo fa ho scritto come questo si possa fare con slackware in questa pagina http://notes.sagredo.eu/node/151

Infatti, come ti ha detto roberto67 cgi-fcgi non risolve il problema in questione. E' solo un problema di permessi, è come se con il tuo utente vorresti fare un ls nella home di root.

Generalmente la guida all'installazione dovrebbe dirti quali sotto directory devono poter avere i permessi di scrittura e quali no.
Emanuele