# Falsche Rechte bei neuer Domain und nach editieren



## Smokers (8. Juni 2011)

Hallo,

ich habe folgendes Problem:
Immer wenn ich eine neue Domain anlege oder eine andere Domain editiere werden die Rechte der Ordner so gesetzt , das suphp Fehler bringt und die Seite mit einem 403 nicht mehr erreichbar ist.
Die Ordnerstruktur nach dem editieren/erstellen ist :


```
drwxr-x--x 6 web7 client2 4096 Jun  8 00:30 .
drwxr-xr-x 4 root root    4096 Jun  5 20:19 ..
lrwxrwxrwx 1 root root      16 Jun  8 00:30 backup -> /var/backup/web7
drwxr-x--x 2 web7 client2 4096 Jun  5 20:19 cgi-bin
lrwxrwxrwx 1 web7 client2   41 Jun  5 20:19 log -> /var/log/ispconfig/httpd/domain1.de
drwxr-x--x 2 web7 client2 4096 Jun  5 20:20 ssl
drwxrwxrwx 2 web7 client2 4096 Jun  5 20:19 tmp
drwx--x--- 4 web7 client2 4096 Jun  5 20:19 web
```
sie soltle aber so sein damit es geht :


```
drwxr-xr-x 6 web1 client1 4096 Jun  8 00:30 .
drwxr-xr-x 3 root root    4096 May 14 22:32 ..
-rwxr-xr-x 1 root root      40 May 16 19:48 .htpasswd_stats
lrwxrwxrwx 1 root root      16 Jun  8 00:30 backup -> /var/backup/web1
drwxr-xr-x 2 web1 client1 4096 May 14 22:32 cgi-bin
lrwxrwxrwx 1 web1 client1   44 May 14 22:32 log -> /var/log/ispconfig/httpd/domain2.de
drwxr-xr-x 2 web1 client1 4096 May 16 01:03 ssl
drwxr-xr-x 2 web1 client1 4096 May 16 19:35 tmp
drwxr-xr-x 5 web1 client1 4096 May 24 21:02 web
```
Zumindest ist das  Read und Execute für Others im Ordner web wichtig, sonst komtm der besagte Fehler der sich durch diese Meldung im Apache/Suexec log findet:

(13)Permission denied: /var/www/saddsdads/web/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable


Was natürlich quark ist, a) hatte ich dort keine .htaccess datei und b) als ich ne leere erstellt habe, ging es auch nicht ^^

Woran kann das liegen?


----------



## Till (8. Juni 2011)

1) Welche ISPConfig Version?
2) Welcher security Level ist bei den web Einstellungen eingestellt?
3) Ist der User unter dem der apache läuft Mitglied der client1 Gruppe in /etc/group ?


----------



## Smokers (8. Juni 2011)

Aaalso:

ISPConfig Version: 3.0.3.3
Security Level ist auf High gesetzt auf der Maschine
auschnitt aus /etc/group



> client1:x:5005:www-data
> client3:x:5006:www-data
> client2:x:5007:www-data




sollte also alles stimmen?


----------



## Till (9. Juni 2011)

Das ist so ok. Und Pache läuft auch unter dem www-data User?


----------



## Smokers (10. Juni 2011)

Hey ho, sry für die späte rückmeldung .

13324 www-data  20   0  374m 8112 1372 S    1  0.4   0:00.02 apache2


ja also läuft unter www-data


----------



## Till (10. Juni 2011)

Dann fällt mir dazu erstmal auch nichts mehr ein. Auf meinen Servern sind die Rechte überall:

drwx--x--- 4 web7 client2 4096 Jun  5 20:19 web

und da läuft es problemlos. Das einzige was ich mir vorstellen könnte ist dass es Probleme gibt wenn der apache User nicht in der client Gruppe ist, aber das haben wir ja schon ausgeschlossen.


----------



## Smokers (10. Juni 2011)

Gibt es irgendwelche Rechte die suphp oder suexec haben muss damit alles funktioniert?! Irgendwelche Einstellungen?

Das es vllt daran liegt das suexec nicht darauf zugreifen kann wenn ich Other flags entferne?!

Denn der Apache Fehler den ich sonst bekomme bezüglich 

```
(13)Permission denied: /var/www/saddsdads/web/.htaccess pcfg_openfile: unable to check htaccess file, ensure it is readable
```
lese ich immer wieder, Rechte Probleme oder dergleichen :-/


----------



## Smokers (12. Juni 2011)

falls das hilft :ich bekomme öfter selbst wenn ich die rechte umgesetzt habe zu +x und +r den Fehler :

[Sun Jun 12 19:06:57 2011] [error] [client 77.187.152.227] Premature end of script headers: install.php 

Was wohl auch auf irgendwelche falschen Gruppen/Benutzerrechte hinweisen soll

/// gleich mal als frage ist das hier so richtig :

xxxx:/usr/lib/apache2# ls -al
total 44
drwxr-xr-x  3 root root      4096 May 14 21:06 .
drwxr-xr-x 55 root root     20480 Jun  2 01:18 ..
drwxr-xr-x  2 root root      4096 May 14 21:26 modules
-rwsr-xr--  1 root www-data 13392 Dec 11  2010 suexec

also das suexec als user root und in gruppe www-data liegt?
ich hab davon kein plan ich versuch nur alle beteiligten module auf deren richtige rechte zu untersuchen ^^°


----------



## Till (14. Juni 2011)

Die Rechte sind so ok. ls -la von einem Debian System:

ls -la /usr/lib/apache2
total 40
drwxr-xr-x  3 root root      4096 Jan 10 11:03 .
drwxr-xr-x 52 root root     20480 Jun  6 14:00 ..
drwxr-xr-x  2 root root      4096 Mar 28 09:15 modules
-rwsr-xr--  1 root www-data 10768 Dec 11  2010 suexec


----------



## Belgeron (12. Aug. 2011)

Wir haben unter CENTOS 5.6 exakt das gleiche Problem.

ISPConfig 3.0.3.3 und jedes mal wenn ich etwas an einem Host ändere bekommt
das web Verzeichnis falsche Zugriffrechte wie im Artikel beschrieben.

Ich hab deshalb meine andere Installationen noch immer auf der vorherigen Version, denn so ist die nicht zu gebrauchen, ich kann das Problem also bestätigen.


----------



## Till (12. Aug. 2011)

Da ich weiß dass es auf vielen tausend Servern mit den Rechten funktioniert die ISPConfig 3.0.3.3. setzt, würde ich mal davon ausgehen dass die Rechte die ISPConfig setzt OK sind und stattdessen ein Konfigurationsfehler vorliegt, z.B. mit der apache Gruppe.

Poste also mal die Rechte, die das Web Verzeichnis hat und die bei Dir nicht funktionieren.
 dann überprüf mal, unter welchem user Dein apache läuft und ob dieser user auch Mitglied in der Client Gruppe ist. Außerdem überprüfe mal, ob SELinux deaktiviert ist.


----------



## Belgeron (25. Aug. 2011)

```
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=disabled
# SELINUXTYPE= type of policy in use. Possible values are:
#       targeted - Only targeted network daemons are protected.
#       strict - Full SELinux protection.
SELINUXTYPE=targeted
```


```
apache   10171  0.0  0.5 231060 11468 ?        S    Aug21   0:00 /usr/sbin/httpd
apache   12240  0.0  2.3 540264 49280 ?        S    Aug24   0:24 /usr/sbin/httpd
apache   12241  0.0  2.3 540264 48904 ?        S    Aug24   0:25 /usr/sbin/httpd
apache   13821  0.0  2.4 540264 49696 ?        S    Aug24   0:22 /usr/sbin/httpd
apache   15046  0.0  2.3 540264 49284 ?        S    Aug24   0:21 /usr/sbin/httpd
apache   17954  0.0  2.3 540264 48908 ?        S    Aug24   0:19 /usr/sbin/httpd
```


```
ispapps:x:5003:
ispconfig:x:5004:apache
client0:x:5005:apache
client1:x:5006:apache
```


```
drwxrwxr-x 16 web2 client1   4096 Aug 24 10:06 web
```
so Funktioniert alles einwandfrei, jetzt gehe ich ins Backend der Site und ändere irgendeinen Wert ab; z.B. schalte das Backup ein oder aus, ist egal was, passiert sofort danach das:

```
drwx--x--- 16 web2 client1   4096 Aug 24 10:06 web
```
dann wars das mit der Website und der Darstellung bis ich wieder ein "chmod" auf das web Verzeichnis vornehme.  Was soll ich da falsch konfiguriert haben? Dem User apache fehlt jegliches Recht in sein Document root zu gelangen.


----------



## Till (25. Aug. 2011)

Die korrekten Rechte sind "drwx--x---", das hatte ich ja bereits mehrfach geschrieben. Hab gerade auch noch auf ein paar unserer Server nachgesehen, die laufen alle admit einwandfrei.

Welche Rechte haben denn die Dateien im web Verzeichnis? Die Dateien müssen alle User web2 und Gruppe web1 gehören und z.B. die Rechte "-rw-r--r--" haben.


----------



## Belgeron (25. Aug. 2011)

```
drwxr-xr-x  3 web2 client1    4096 Jul  5 16:04 cms_parser
-rw-r--r--  1 web2 client1   15445 Jul 22 15:08 cms.php
```
Dem ist so.... nur das geile ist, jetzt läuft es ?!?  Nicht das ich irgendwas dran geändert hätte? What da??


----------



## Till (25. Aug. 2011)

Dann fällt mir ertsmal nichts mehr ein, wo das Problem auf Deinem Server sein könnte. Denn apache hat somit ausreichende Rechte für den Zugriff auf die Dateien, denn für den Zugriff auf das Web Verzeichnis reicht ein x in den Gruppenrechten wenn die darinliegenden Dateien ein "r" in den Gruppenrechten haben, so wie von ISPConfig angelegt.

Das einzige was Du als Workaround machen kannst ist die Chmod Befehle im apache plugin in ispconfig anpassen.


----------



## Belgeron (25. Aug. 2011)

Wie gesagt, kein Plan, aber jetzt schmeisst er weder die Fehlermeldungen noch hat sonst ein Problem, im Moment läuft der Server genau mit den Rechten wie du angegeben hast.

Ich beobachte das weiter, ist irgendwie merkwürdig das Ganze, trotzdem mal danke für die Hilfestellung.


----------

