LÖST: låta kompisarna ha hemsida på min server

[rawsezx]

Hallå!

Har en Ubuntu-server ståendes i källaren, mest för att hålla reda på mitt egna nätverk, skrivare etc. Eftersom jag har fast ip och fiber 100/100 tänkte
jag även ha hemsidan liggandes där, inga problem att få igång den, men nu frågade polaren om han kunde lägga upp en hemsida, är ganska nybörjare
gällande detta, sist jag pillade med detta var på en gammal redhat 5.0 installation för sisådär 10 år sedan om inte mer...

Har kollat igenom det här med virtualhosts som man tydligen skall använda sig av för att få användare att ha sin hemsida liggandes i hemkatalogen
med sitt domännamn etc knytet till det.

Finns det något script eller dyl. man enkelt kan använda för att lägga till en ny användares hemsidemapp för apache2 ?

För att förtydliga vad jag vill åstakomma:

Jag vill kunna skriva in i webbläsaren följande.
http://www.mindoman.se/home/kalleballe/ ... index.html
http://www.mindoman.se/home/janbanan/pu ... index.html

beroende på vilken adress man skriver in så skall resp. användares hemsida visas!

Tacksam för svar!

[mcNisse]

Hej och välkommen till ubuntu-se.org!

Här har du första träffen jag fick: http://kimbriggs.com/computers/computer ... ories.file den kanske hjälper dig...

[AlexF]

Vill du ha en ny domän ex. http://www.nydoman.se så att den kopplas till polarens hemsida,
eller vill du ha http://www.dindoman.se/~dinpolare/ ?

Om du vill sätta upp virtual hosts kan jag verkligen rekommendera slicehosts sida.
http://articles.slicehost.com/apache

Specifikt denna för virtuella värdar på apache: http://articles.slicehost.com/2008/12/1 ... guration-1

[Rag3Rac3r]

Om du vill få det att se professionelt ut så finns ISPcp Omega (http://isp-control.net/) som du kan kika på.
Då får du en kontrollpanel och lite annat jox som gör att dina kompisar kan administrera sina egna konton, och du lätt kan lägga till/ta bort/ändra.

Just a tip

[rawsezx]

Tackar för alla goda råd!

Installerade Webmin 1.430 och har fått det att fungera.

Nu har jag bara problemet med användargrupper... Laddade upp Joomla! genom ftp och då kan inte apache (www-data) ändra något.

nån som har någon bra idé?

Ska även ta en titt på ISPcp Omega! Tackar för tipset Rag3Rac3r!

[Rag3Rac3r]

Tackar för alla goda råd!

Installerade Webmin 1.430 och har fått det att fungera.

Nu har jag bara problemet med användargrupper... Laddade upp Joomla! genom ftp och då kan inte apache (www-data) ändra något.

nån som har någon bra idé?

Ska även ta en titt på ISPcp Omega! Tackar för tipset Rag3Rac3r!

Webmin i mina ögon duger inte riktigt för såna syften, plus att den till och från har en del otrevliga buggar... Likadant med Usermin...

Apache kan inte ändra något på grund av fel rättigheter på filer/mappar. Kolla i readmen om det står vilka mappar som måste vara skrivbara för att det ska funka, och ändra rättigheterna på dom till 666 eller 777. Antagligen däri felet ligger.

[rawsezx]

det fungerar när jag ändrar rättigheterna till 777. Grundproblemet är att jag har gjort det fel från början när jag lagt till användare tror jag!
Jag måste läsa på lite om användargrupper och rättigheter. Finns en funktion i Joomla där man kan se vilka kataloger som är skrivbara, dom är unwritable när jag har 644 resp. 744.

Loggade in på mitt loopiakonto å tittade runt lite, där har dom 644 för filerna resp 744 för katalogerna och där funkar joomla finfint (förutom en totalt überseg mySQL server men det är en annan historia).

När jag har lagt till ett konto har jag bara skrivit adduser <användarnamn>

Jag får känslan att jag måste skapa en användargrupp där alla "hemsidesugna" kompisar får vara med i. Men då är frågan förstås om det är en säkerhetsrisk att
låta apache ligga med i samma grupp, eller om det går att låta apache vara "över" den gruppen så att säga, lite svårt att formulera då jag inte riktigt förstår
hur det funkar riktigt än, men skam den som ger sig!

[Rag3Rac3r]

det fungerar när jag ändrar rättigheterna till 777. Grundproblemet är att jag har gjort det fel från början när jag lagt till användare tror jag!
Jag måste läsa på lite om användargrupper och rättigheter. Finns en funktion i Joomla där man kan se vilka kataloger som är skrivbara, dom är unwritable när jag har 644 resp. 744.

Loggade in på mitt loopiakonto å tittade runt lite, där har dom 644 för filerna resp 744 för katalogerna och där funkar joomla finfint (förutom en totalt überseg mySQL server men det är en annan historia).

Loopia har antagligen en helt annan och mycket mer säker lösning som baserar sig på att låta php (vid just den föfrågan) att köra som ens användarnamn.
Du kan kika på suExec till apache om du vill ha en liknande funktion. Därav kan du ha 644 på loopia, men inte hemma på din egen.

När jag har lagt till ett konto har jag bara skrivit adduser <användarnamn>

adduser -g <grupp> <användarnamn>
Om du vill specificera flera grupper för en användare: adduser -g <primär grupp> -G <sekundär grupp 1>,<sekundär grupp 2> <användarnamn>

Jag får känslan att jag måste skapa en användargrupp där alla "hemsidesugna" kompisar får vara med i. Men då är frågan förstås om det är en säkerhetsrisk att
låta apache ligga med i samma grupp, eller om det går att låta apache vara "över" den gruppen så att säga, lite svårt att formulera då jag inte riktigt förstår
hur det funkar riktigt än, men skam den som ger sig!

Mycket riktigt kan detta vara en säkerhetsrisk, det hänger på hur pass duktiga din kompisar är på PHP. Men även om dom är proffs ska man använda Mulders mantra i Arkiv X: "Trust no one".

Din idé om att ha apache "över" blir ungefär samma som om dom är i samma grupp som apache.
Mitt råd är att läsa på om suExec modulen till apache, och se om du kan trixa till det så dom låses till sina egna konton.

Men kolla på ISPcp Omega ganska snart, har för mig hela den idéen finns inbyggd där i, eftersom den är gjord för en "hosting"-miljö.

[rawsezx]

Testade att installera ISP Omega, fick det tyvärr inte att fungera tillfredställande, hela mitt interna nätverk dog! :/ Tog ett tag få igång det igen.
min ubuntu-server delar ut internet genom ett andra nätverkskort och jag tror att nånstans så krockade det!

Gällande SuExec så räckte det med att läsa varningstexten som apache support skriver i inledningen! ;-) Inte misstolkas att funktionen i sig är en säkerhetsrisk, utan mer på mig!

- If you aren't familiar with managing setuid root programs and the security issues they present, we highly recommend that you not consider using suEXEC.

Så här har jag löst det idag!

Skapat en användargrupp som heter <användare>-hemsida i denna grupp så har jag användaren och apache. (Som jag beskrev det ovan).
Usergroup kalle-hemsida innehåller med andra ord kalle och www-data. Kataloger & filer i public_html tillåts att läsas & skrivas av både ägaren och gruppen, men bara läsas publikt.

Att det finns en säkerhetsrisk där mina användare kan ställa till problem är jag medveten om, (dock inte hur stor skada samt specifkt vad dom kan göra).
Men rent publikt, vad kan en utomstående göra enligt ovan lösning? De få som har konto har ingen möjlighet till SSH eller FTP utan all administration sköter dom genom Joomlas admingränssnitt.

//Kalle

[Luxwarp]

Hejsan.

Jag kör en server hemma. med apach2 och php mysql och hela kittet.

Om du kollar i apach2 mappen i /etc så har du ju virtualhost där, använd den för att ställa in så kandu få att om man surfar till

www.mindomän.se tex så kmmer man till din huvud sida
sen om man surfar till

www.kompis.mindomän.se så kommer man till din kompis sida
och
www.kompis2.mindomän.se så kommer man till din andra kompis hemsida osv.

Handlar bara om att lägga till en användare lokalt på datorn
se till att dom får ftp kontroll
och sen ställa in i virtualhost filen vart deras sida ligger i förhållande till domän tex www.kompis.mindomän.se

[rawsezx]

Hej! Tack för svar!

Sorry för att jag inte nämnt det tidigare i tråden, fixade till det manuellt med virtualhost filerna och har fått det att fungera bra!

[Luxwarp]

Hej! Tack för svar!

Sorry för att jag inte nämnt det tidigare i tråden, fixade till det manuellt med virtualhost filerna och har fått det att fungera bra!

Okej bra:).

Markera gärna tråden som [LÖST]
igenom att ändra ditt första inlägg:)

[Rag3Rac3r]

Att det finns en säkerhetsrisk där mina användare kan ställa till problem är jag medveten om, (dock inte hur stor skada samt specifkt vad dom kan göra).
Men rent publikt, vad kan en utomstående göra enligt ovan lösning? De få som har konto har ingen möjlighet till SSH eller FTP utan all administration sköter dom genom Joomlas admingränssnitt.

//Kalle

Om du tillåter att dom har och php-script så har du en rimligt stor säkerhetsrisk.
Säg att dina kompisar inte kan php tillräckligt bra och missar att bygga in "lita inte på någon"-funktioner så kan följande hända:
1. En som attackerar din server använder php för att antingen komma åt dina kompisars sidor (alla har ju www-data som grupp, alltså kommer dom åt varandras mappar) eller ställa till problem i apache och dom mappar som ägs av www-data.
2. Dina kompisar ställer till djävuls-tyg för varandra.

Du kan råda bot på detta genom att köra php som FastCGI istället. Det finns en modul till php som droppar privilegierna ner till användarens (kalle.kalle t.ex) och därigenom så är han/hon låst till sin hemmapp.
Om du kombinerar detta med modulen Suhosin (kräver en del läsning och kunskap om PHP för att konfigurera) så har du säkrat upp lite till.

Dock finns det alltid sätt att komma runt det, men du har i alla fall gjort det hela ganska säkrare än innan.

PHP som FastCGI i Apache: http://httpd.apache.org/mod_fcgid/
PHP modulen som jag nämner: https://launchpad.net/php-fpm (kolla ubuntus förråd, annars får du ge dig på kompilering)
Suhosin: http://www.hardened-php.net/suhosin/index.html (den finns i Debians förråd, så du kan kika i ubuntus egna förråd först)

Hoppas nåt av detta är av intresse.
(Sorry för lite sent svar, men har vart på resande fot senaste 2 dagarna)

[Emil.s]

Sen finns "suPHP" också. (kör php-filerna som användaren som äger dem):
http://www.suphp.org/Home.html

[Rag3Rac3r]

Sen finns "suPHP" också. (kör php-filerna som användaren som äger dem):
http://www.suphp.org/Home.html

Utanför ämnet: Exakt det gör PHP-FMP också, fast som fcgi istället. Och fcgi är imho överlägset mot att ladda som modul till apache