Best practice zu Dateiberechtigungen (gelöst) (Allgemeines zu Perl) - Perl-Community.de

Start · Board · Anwendungen/Programme/Skripte in Perl · Allgemeines zu Perl

2024-05-24 03:38:43
Europe/Berlin
Einloggen (Registrieren)
- Einstellungen
- Statistics
Jemand zu Hause?
0 Benutzer online
2 Gäste

[thread]20765[/thread]

submit to reddit

Best practice zu Dateiberechtigungen [gelöst]

[gelöst]

Tags: perl5 Ähnliche Threads

Leser: 16

Articles: hide open all | hide show old branches

+22 replies
bianca

2020-04-03 09:39

User since
2009-09-13
6995 Artikel
BenutzerIn

Hi!

Was ist best practice im Umgang mit den Dateiberechtigungen bei sysopen() und mkdir() auf Linux und Windows? Ich komme mit diesen oktalen Werten immer nicht nicht richtig zurecht. Besonders nicht mit Setuid, Setgid und Sticky Bit.
Verstanden habe ich deren Bedeutung aber die Syntax bereitet Probleme.
Gibt es vielleicht ein Core Modul oder ähnliches wo ich quasi die Kreuzchen setze und den richtigen Wert zur direkten Verwendung in sysopen() zurück bekomme? Also z. B. sowas wie sysopen my $dh,$dn,O_RDWR|O_EXCL|O_CREAT,berechtigung('rwxrwsr-x')?
Danke
10 print "Hallo"
20 goto 10
- +5 replies
- Raubtier
  
  2020-04-03 10:27
  
  User since
  2012-05-04
  1070 Artikel
  BenutzerIn
  
  Im Regelfall würde ich da überhaupt nichts angeben - deine umask kommt ja sowieso noch drauf.
  
  Nur wenn du jetzt irgendwas ausschließen willst, würde ich die Permissions überhaupt angeben. Aber dann ist 0600 doch wohl der wahrscheinlich zu benutzende Wert.
  
  Was willst du erreichen?
  - +4 replies
  - bianca
    
    2020-04-03 13:03
    
    User since
    2009-09-13
    6995 Artikel
    BenutzerIn
    
    2020-04-03T08:27:16 Raubtier
    Was willst du erreichen?
    
    Ich möchte in einer zentralen Konfigurationsdatei die zu verwendenden Werte für Datei intern, Verzeichnis intern, Verzeichnis öffentlich und Datei öffentlich hinterlegen und dann überall in allen sysopen's und mkdir's die jeweils zutreffenden Werte verwenden.
    Außerdem sind Setuid und Setgid doch existenziell für die Sicherheit des Projekts.
    Also mir geht es shared Webhosting.
    Ich möchte zusehen, dass man immer die geringst nötigen Berechtigungen verwendet und sich nicht auf Zufälle verlässt oder wie macht ihr das?
    
    Und was hat es mit diesem unmask auf sich? das habe ich gelesen aber verstehe es nicht.
    10 print "Hallo"
    20 goto 10
    - +3 replies
    - Raubtier
      
      2020-04-03 13:43
      
      User since
      2012-05-04
      1070 Artikel
      BenutzerIn
      
      2020-04-03T11:03:54 bianca
      2020-04-03T08:27:16 Raubtier
      Was willst du erreichen?
      
      Ich möchte in einer zentralen Konfigurationsdatei die zu verwendenden Werte für Datei intern, Verzeichnis intern, Verzeichnis öffentlich und Datei öffentlich hinterlegen und dann überall in allen sysopen's und mkdir's die jeweils zutreffenden Werte verwenden.
      
      Hm. Finde die Idee ein wenig seltsam. Normalerweise habe ich ein Programm, das irgendwo liegt. Und dann gibt es ein Datenverzeichnis, wo das Programm dann reinschreibt. Du hast jetzt noch irgendwelche weiteren, öffentlichen Verzeichnisse? Warum muss dein Programm sowas verwalten?
      
      Quote
      Außerdem sind Setuid und Setgid doch existenziell für die Sicherheit des Projekts.
      
      Wieso sind die existenziell? Die solltest du in der Regel überhaupt nicht setzen. Die sind dafür da, dem Programm zusätzlich zu den Rechten des ausführenden Benutzers noch die Rechte desjenigen einzuräumen, dem die Datei gehört. Das will man doch nicht?! (außer bei so Programmen wie "sudo")
      
      Quote
      Also mir geht es shared Webhosting.
      Ich möchte zusehen, dass man immer die geringst nötigen Berechtigungen verwendet und sich nicht auf Zufälle verlässt oder wie macht ihr das?
      
      Ich kenne mich in dem Bereich nicht aus (wenn, dann nehme ich einen eigenen virtuellen Server). Aber normalerweise sollten sich doch verschiedene Benutzer sowieso nicht sehen können. Und wenn man etwas sharen will, würde ich von außen ein geshartes Verzeichnis anlegen und mein Projekt so konfigurieren, dass es die zu sharenden Dateien dort ablegt.
      
      Quote
      Und was hat es mit diesem unmask auf sich? das habe ich gelesen aber verstehe es nicht.
      
      Damit stellst du ein, welche Rechte neue Dateien NICHT haben sollen. Angenommen, du erzeugst eine neue Datei mit sysopen mit den Rechten 0777, deine umask ist aber 002. Dann hat die Datei nicht die Rechte 0777, die du angegeben hast, sondern 0775. Es wird mit dem "Nicht" der umask "ver-und-ed". Wenn du also die umask 022 setzt, hat deine Datei nur 0755. Und so weiter. Mit der umask setzt du also, welche Bits NICHT gesetzt sein sollen. 2=schreiben, 1=ausführen, 4=lesen.
      
      Mit einer umask 077 werden Dateien also so erzeugt, dass Gruppen und andere gar keine Rechte haben.
      Last edited: 2020-04-03 13:46:38 +0200 (CEST)
      - +2 replies
      - bianca
        
        2020-04-03 14:28
        
        User since
        2009-09-13
        6995 Artikel
        BenutzerIn
        
        Zu unmask: wofür braucht man das?
        
        Zu den anderen Texten: ich bitte meine Fragen zu beantworten. Vielleicht kann noch jemand anders darauf antworten.
        10 print "Hallo"
        20 goto 10
        
        Raubtier
        
        2020-04-03 15:29
        
        User since
        2012-05-04
        1070 Artikel
        BenutzerIn
        
        2020-04-03T12:28:44 bianca
        Zu unmask: wofür braucht man das?
        
        umask, nicht unmask!
        
        Wie schon eben beschrieben, legt das fest, welche Rechte neu erzeugte Dateien haben (bzw. nicht haben).
        
        Du stellt deine umask z.B. auf 007 ein - und nun sind alle neu erstellten Dateien in jedem Fall ohne Berechtigungen für "andere".
        
        Dein Ziel sollte sein, dich in deinem Programm gar nicht darum kümmern zu müssen.
        Last edited: 2020-04-03 15:31:00 +0200 (CEST)
- +16 replies
- haj
  
  2020-04-03 20:23
  User since
  2015-01-07
  531 Artikel
  BenutzerIn
  2020-04-03T07:39:45 bianca
  Was ist best practice im Umgang mit den Dateiberechtigungen bei sysopen() und mkdir() auf Linux und Windows?
  Da gleich mal eine Warnung: Linux und Windows sind völlig verschieden, und es hängt auch noch vom verwendeten Dateisystem ab. Über Windows nur soviel: Es gibt Perl-Module zum Steuern der Zugriffsrechte wie Win32::FileSecurity, aber wenn Du nicht schon mit anderen Windows-APIs sowas bearbeitet hast, dann wird Dir deren knappe Dokumentation wohl kaum ausreichen.
  
  2020-04-03T07:39:45 bianca
  Ich komme mit diesen oktalen Werten immer nicht nicht richtig zurecht. Besonders nicht mit Setuid, Setgid und Sticky Bit.
  Das kann ich nachvollziehen. Für mich waren Oktalzahlen schon immer ziemlich hoch auf der Nerdometer-Skala, insbesondere die Schreibweise mit der führenden Null.
  
  2020-04-03T07:39:45 bianca
  Verstanden habe ich deren Bedeutung aber die Syntax bereitet Probleme.
  Gibt es vielleicht ein Core Modul oder ähnliches wo ich quasi die Kreuzchen setze und den richtigen Wert zur direkten Verwendung in sysopen() zurück bekomme? Also z. B. sowas wie sysopen my $dh,$dn,O_RDWR|O_EXCL|O_CREAT,berechtigung('rwxrwsr-x')?
  Nicht ganz in dieser Weise, aber analog zu O_RDWR kann man - ebenfalls mit Fcntl - mysteriöse benannte Konstanten verwenden. Diese Konstanten importierst Du mit use Fcntl qw/:mode/; und Du kannst sie dann für den ganzen Zirkus der Funktionen verwenden.
  
  Auch hier gleich ein Hinweis: Unter Windows gibt's weniger Konstanten als unter Linux, und sie funktionieren auch nur sehr eingeschränkt. Die ganze MODE-Logik ist eine Unix-Erfindung - und da kommt Perl nun mal her.
  
  Die Konstanten sind nun nicht wirklich in Perl dokumentiert (bei chmod gibt es ein Beispiel), deswegen habe ich mal ein Programm geschrieben, das sie zusammen mit ihren Oktalwerten ausgibt:
  
  Code (perl): (dl )
  
  1 2 3 4 5 6
  
  use Fcntl; my @constants = grep { /^S_I/ && eval { Fcntl->$_ } } keys %Fcntl::; my %values = map { $_ => Fcntl->$_ } @constants; for (sort { $values{$a} <=> $values {$b} } keys %values) { printf "%-8s = %07o\n", $_, $values{$_}; }
  
  Die Ausgabe beginnt nun mit folgenden Werten:
  
  Code: (dl )
  
  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
  
  S_IXOTH = 0000001 S_IWOTH = 0000002 S_IROTH = 0000004 S_IRWXO = 0000007 S_IXGRP = 0000010 S_IWGRP = 0000020 S_IRGRP = 0000040 S_IRWXG = 0000070 S_IEXEC = 0000100 S_IXUSR = 0000100 S_IWRITE = 0000200 S_IWUSR = 0000200 S_IRUSR = 0000400 S_IREAD = 0000400 S_IRWXU = 0000700 S_ISGID = 0002000 S_ISUID = 0004000
  
  Alle fangen mit S_I an, danach kommt (meistens) der Buchstabe, um welches Recht es sich handelt (R, W, X), und danach USR für den Benutzer, GRP für die Gruppe, und OTH für den Rest der Welt. Daneben gibt's noch die mit RWX als Abkürzungen.
  
  Ein Anwendungsbeispiel: berechtigung('rwxrwsr-x') kannst Du schreiben als S_IRWXU | S_IRWXG | S_IROTH | S_XOTH | S_ISGID. Und dazu nochmal eine Warnung: S_ISGID (setgid) tut bei Perl-Skripten nicht das, was Du vielleicht erwartest. Das liegt daran, dass das ausführbare Programm /usr/bin/perl ist, Dein Skript ist nur eine Input-Datei dafür. Da müsste also Dein Provider für jeden seiner Kunden einen kleinen binären Wrapper schreiben, der dann dem jeweiligen Kunden gehört und das S-bit trägt. Es gab Provider, die haben das so gemacht - aber Dein Perl-Skript braucht das Bit auch in diesem Fall nicht.
  
  Dass Du Deine Dateien so restriktiv wie möglich einstellen willst, ist Teil der Best Practice in einer Umgebung, in der Sicherheit eine Rolle spielt. Aber auch das hängt davon ab, wie Dein Provider sein Shared Hosting anbietet. Sicheres Shared Hosting mit CGI ist ja schon etwas anspruchsvoll, wenn die einzelnen Nutzer eines Apache Virtual Host (oder was auch immer als Webserver eingesetzt wird) voneinander einigermaßen abgeschottet werden sollen. Wenn da z.B. FastCGI läuft, kann jeder Kunde seinen eigenen CGI-Prozess haben, der unter seiner eigenen Benutzerkennung läuft.
  
  Dass für eine sinnvolle Einstellung umask eine Rolle spielt, hat ja Raubtier schon erläutert. umask schaltet bei allen erzeugten Objekten die angegebenen Zugriffsrechte aus ("maskiert" sie). Wichtig ist, das umask als Perl-Funktion verfügbar ist und somit für alle Dateien und Verzeichnisse gilt, die der Prozess danach (bis zur nächsten Änderung der Umask) anlegt. Mit umask S_IRWXG | S_IRWXO kannst Du sicherstellen, dass neu angelegte Dateien und Verzeichnisse nur von Deiner eigenen Benutzerkennung gelesen und geschrieben werden können. Auch der MODE, den Du bei sysopen und mkdir angeben kannst, wird damit noch eingeschränkt! Unabhängig von der umask kannst Du die Zugriffsrechte nur nachträglich mit chmod ändern.
  
  Nun kann man sich mit diesen Funktionen prima selbst ein Bein stellen. Wenn Du Software schreibst, die unter unterschiedlichen Hosting-Szenarien läuft, dann sollte die umask-Einstellung konfigurierbar sein. Ob Du zusätzlich noch eine Konfigurationsdatei mit individuellen Einstellungen pro Datei brauchst, musst Du selbst beurteilen, aber eben dabei berücksichtigen, dass umask auch auf sysopen und mkdir wirkt.
  - +15 replies
  - bianca
    
    2020-04-03 22:38
    
    User since
    2009-09-13
    6995 Artikel
    BenutzerIn
    
    Danke dir! Kein einfacher Stoff.
    
    Frage: wie kann ich (am liebsten per Script) feststellen, was die geringste nötige Datei- und Verzeichnisberechtigung ist, damit ein Webscript darin lesen, schreiben, löschen darf? Ich müsste da mal mit einer Syntax auf die Beine gestellt werden, dann kann ich von da an alleine weiter laufen.
    Ich möchte das halt nicht mehr per Hand mittels FTP alles durchprobieren müssen.
    
    Und das Script würde ich dann bei einem Providerwechsel am Start einmalig laufen lassen und die Werte in die Konfigdatei eintragen.
    10 print "Hallo"
    20 goto 10
    - +14 replies
    - GwenDragon
      
      2020-04-04 12:44
      
      User since
      2005-01-17
      14612 Artikel
      Admin1
      
      Dateirechte: 0640 rw-r----- oder 0644 rw-r--r--
      Je nach Konfig des Webservers.
      
      Besitzrechte: Besitzer_Website:Gruppe_Webservernutzer
      z.B. ws4711:www-data
      Muss du wissen wie die auf deinem Server sind.
      Last edited: 2020-04-04 14:50:25 +0200 (CEST)
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
      - +13 replies
      - bianca
        
        2020-04-04 16:39
        
        User since
        2009-09-13
        6995 Artikel
        BenutzerIn
        
        2020-04-04T10:44:17 GwenDragon
        Muss du wissen wie die auf deinem Server sind.
        
        Genau das möchte ich herausfinden. Bisher habe ich das immer per FTP gemacht. Angefangen mit 600 und so lange hoch probiert bis die Datei bei Scriptaufrufen aus dem WWW per CGI les-, schreib- und löschbar ist.
        Und das möchte ich gern per Script machen aber ich weiß die Syntax nicht.
        Hier mal Auszüge aus dem Script:
        
        Die Berechtigungen:
        my @berechttest = (0600,0640,0644,0664,0666,0744,0764,0766,0776,0777,0755,0775);
        
        Die Schleife:
        foreach my $datber (@berechttest) {...}
        
        Und darin das Öffnen:
        if (sysopen my $dath,$dateiname,O_RDWR|O_EXCL|O_CREAT,$datber) {...}
        
        Es kommt immer permission denied. Und in der Kontrollausgabe print "Datei '$dateiname' mit $datber" sehe ich dann sowas: Datei '/home/abc/xyz/testverzeichnis2/testdatei1.txt' mit 384
        Wo kommt dieses "384" her? Das ist doch gar nicht im Array vorhanden!? Was ist denn da an meiner Syntax falsch?
        10 print "Hallo"
        20 goto 10
        
        +12 replies
        
        haj
        
        2020-04-04 17:35
        
        User since
        2015-01-07
        531 Artikel
        BenutzerIn
        
        2020-04-04T14:39:15 bianca
        Es kommt immer permission denied. Und in der Kontrollausgabe print "Datei '$dateiname' mit $datber" sehe ich dann sowas: Datei '/home/abc/xyz/testverzeichnis2/testdatei1.txt' mit 384
        Wo kommt dieses "384" her? Das ist doch gar nicht im Array vorhanden!? Was ist denn da an meiner Syntax falsch?
        
        Du bist da wieder den Oktalzahlen aufgesessen. Wenn Du die "richtig" lesen willst, dann brauchst Du printf mit dem %o-Format:
        
        Code: (dl )
        
        perl -E 'printf "%04o",384'
        
        Code: (dl )
        
        0600
        
        Lass' Dein Skript mal ausgeben, wem Deine Dateien gehören (uid / gid) und unter welcher Benutzer- und Gruppenkennung Deine Skripte laufen. Das sind jeweils Nummern - die tatsächlichen Login- und Gruppennamen sind nur Dekoration.
        
        An die Nummern für die Dateien kommst Du mit perlfunc stat, an die zum Prozess mit den Variablen $> und $).
        
        Und auch die Maske kannst Du Dir mit perlfunc umask anschauen - hier auch wieder das Oktalformat bei der Ausgabe verwenden! Wenn die nämlich allzu strikt ist, dann kannst Du bei sysopen angeben, was Du willst, und es wird nix.
        
        Wenn Du allerdings beim sysopen schon Fehler bekommst, dann darfst Du die Datei schon gar nicht anlegen - es fehlt die Schreibberechtigung im Verzeichnis. Auch die kannst Du mit stat für das Verzeichnis sehen und im Oktalformat ausgeben, dann gegebenenfalls mit perlfunc chmod ändern.
        
        +11 replies
        
        bianca
        
        2020-04-04 23:09
        
        User since
        2009-09-13
        6995 Artikel
        BenutzerIn
        
        Hallo haj!
        
        Vielen Dank für die Hilfe!
        Ich habe alles gemacht, was du geschrieben hast. Ergebnis:
        Quote
        Scriptprozess:
        PID: 681
        UID: 100015592
        GID: 100015592 100015592
        
        umask: 0007 angezeigt mit sprintf("%04o",umask)
        
        Wurzelverzeichnis: /home/abc/xyz (Testdatei war: testdatei1.txt)
        UID: 100015592
        GID: 100015592
        
        Wie lese ich jetzt die kleinst nötige Berechtigung für Dateien und Verzeichnisse ab?
        Der Webprozess scheint ja die selbe UID zu haben wie die angelegte Testdatei. Das würde bedeuten, dass 700 reichen sollte. Tut es aber nicht, denn wenn ich dem Testscript selbst 700 gebe kommt der 500er Fehler. Es läuft erst wieder, wenn es 750 bekommt. Also Gruppe+Besitzer.
        Hätte ich diese 750 jetzt aufgrund der ermittelten Umgebungswerte oben ablesen können?
        Und: wie komme ich jetzt auch noch auf die kleinst nötige Verzeichnisberechtigung?
        10 print "Hallo"
        20 goto 10
        
        +10 replies
        
        haj
        
        2020-04-05 11:05
        
        User since
        2015-01-07
        531 Artikel
        BenutzerIn
        
        Hallo Bianca,
        
        Das sind schon mal wichtige Informationen, danke! Deine CGI-Skripte laufen also unter Deiner eigenen Kennung, Du hast eine eigene Gruppe und die Separation der verschiedenen Kunden des Shared Hosting erfolgt über die umask.
        
        Danach fehlen mir aber ein paar Teile für das Puzzle: Geht es Dir um die Dateien, die Du im Skript anlegst oder um solche, die Du per FTP überträgst und dann per Skript weiterbearbeitest - oder um das Skript selbst?
        
        Für das Skript selbst gelten eigene Regeln: Das liest der Webserver ja schon, um herauszufinden, dass er es an Perl verfüttern muss - und das passiert vielleicht noch unter einer anderen Benutzerkennung, die zu Deiner Gruppe gehört.
        
        Wie das genau passiert (ich tippe auf eine chroot-Umgebung) ist dann doch zu viel des Reverse Engineerings von Sachen, die Dein Provider weiß und Dir sagen kann. Eine Berechtigung von 0750 ist schon ok, wenn Du eine eigene Gruppe hast.
        
        Sobald Dein Skript mal gestartet ist (also zum Beispiel fehlerfrei kompiliert - dafür brauchst Du dann 0640 für Deine Bibliotheken), liegt es an Deinem Skript, 500er zu vermeiden. Ein Fehler bei sysopen löst ja keinen 500er Status aus!
        
        +9 replies
        
        bianca
        
        2020-04-05 22:13
        
        User since
        2009-09-13
        6995 Artikel
        BenutzerIn
        
        2020-04-05T09:05:38 haj
        Geht es Dir um die Dateien, die Du im Skript anlegst oder um solche, die Du per FTP überträgst und dann per Skript weiterbearbeitest - oder um das Skript selbst?
        
        Ich habe eine Tabelle gemacht wo überall was rein soll:
        
        Code: (dl )
        
        1 2 3 4 5 6 7 8 9 10
        
        ----------------------------------------- | nicht | öffentlich | | öffentlich | | ----------------------------------------- Scripte | | | ----------------------------------------- Dateien | | | ----------------------------------------- Verzeichnisse | | | -----------------------------------------
        
        2020-04-05T09:05:38 haj
        Sobald Dein Skript mal gestartet ist (also zum Beispiel fehlerfrei kompiliert - dafür brauchst Du dann 0640 für Deine Bibliotheken)
        
        Ist das ein Beispiel oder wo ist die 0640 her?
        10 print "Hallo"
        20 goto 10
        
        +8 replies
        
        haj
        
        2020-04-06 00:56
        
        User since
        2015-01-07
        531 Artikel
        BenutzerIn
        
        2020-04-05T20:13:47 bianca
        2020-04-05T09:05:38 haj
        Sobald Dein Skript mal gestartet ist (also zum Beispiel fehlerfrei kompiliert - dafür brauchst Du dann 0640 für Deine Bibliotheken)
        
        Ist das ein Beispiel oder wo ist die 0640 her?
        
        Das ist, wenn ich's nochmal überlege, schlicht falsch. Sorry.
        
        Perl-Module müssen von Perl gelesen werden können. Aber Perl läuft ja beim CGI bereits unter Deiner Benutzerkennung, also sollte 0600 als Zugriffsberechtigung für Deine Perl-Module ausreichend sein. 0640 bedeutet "Der Eigentümer darf lesen und schreiben, Gruppenmitglieder dürfen nur lesen". Das unterscheidet sich von 0750 dadurch, dass die Dateien nicht ausgeführt werden können.
        
        Ansonsten verhindert die umask, dass Dateien, die Deine CGI-Prozesse anlegen, "öffentlich" sind - aber mir ist nicht mal klar, was Du mit "öffentlich" meinst. Hat denn da die Öffentlichkeit Zugang?
        
        Ich gehe davon aus, dass jeder Kunde des Shared Hostings seine eigene Benutzerkennung und seine eigene Gruppe hat. Somit können andere Kunden nicht in Deine Dateien gucken, wenn Du sie nicht explizit "für alle" aufmachst.
        
        +5 replies
        
        bianca
        
        2020-04-06 08:09
        
        User since
        2009-09-13
        6995 Artikel
        BenutzerIn
        
        Das heißt, du würdest sysopen und mkdir ohne Angabe der Berechtigungen nutzen? Würde in diesem Fall bedeuten, dass Dateien 0660 bekommen. OK das ginge.
        
        Aber wie genau ist das jetzt mit umask? Was macht das genau? Wofür genau hatte ich die ganzen Id's ermittelt?
        
        Wie komme ich denn jetzt zu einem Script, dass diese ganzen Schritte für mich macht?
        Damit kein Missverständnis entsteht: ich möchte nicht wissen, welche Berechtigungen aktuell bei einem Provider benutzt werden können (das könnte ich durch Ausprobieren per FTP erreichen) sondern ich möchte generell ein Script zur immer-wieder-Verwendung bauen, dass das für mich übernimmt.
        
        Also: Hoster im Netz suchen -> Testaccount machen -> Script hochladen und aufrufen -> Berechtigungen ablesen -> Werte in die Konfig des Projekts schreiben damit alle sysopen's und mkdir's ihre Werte bekommen.
        
        Mein Versuch war, in einer Schleife beginnend bei den geringsten Berechtigungen so lange hoch zu gehen, bis es funktioniert. Und irgend wie bin ich davon jetzt wieder weiter entfernt als ich schon mal war :)
        
        Kann mit bitte jemand sagen, wie die Syntax für sysopen lauten muss, wenn ich die Berechtigung aus einer Variable beziehe. if (sysopen my $dath,$dateiname,O_RDWR|O_EXCL|O_CREAT,$datber) {...} geht ja nicht. Aber wie muss in dieser Zeile der Parameter $datber richtig lauten, damit die Datei z. B. mit 755 angelegt wird?
        
        Mit dieser Zeile hier: my @berechttest = (0644,0755);foreach my $test (@berechttest){sysopen my $fh,"$ENV{DOCUMENT_ROOT}/test$test.txt",O_RDWR|O_EXCL|O_CREAT,$test;} bekommen die Dateien 0640 und 0750, wenn ich das per FTP anschaue. Warum? Warum nicht 0644 und 0755?
        In den Dateinamen steht 420 und 493. Warum? Wieso macht Perl aus 0644 im String eine ganz andere Zahl? Ist das allein wegen der führenden Null in der Definition? Hat das seine Richtigkeit? Ist das in anderen Sprachen auch so? Ich bin darüber eigentlich ziemlich erschrocken, was man im Dezimalsystem mit einer führenden Null anrichten kann.
        
        Mit my @berechttest = ('0644','0755');foreach my $test (@berechttest){sysopen my $fh,"$ENV{DOCUMENT_ROOT}/test$test.txt",O_RDWR|O_EXCL|O_CREAT,$test;} bekommen sie S200 und S360??
        
        Und mit my @berechttest = ('0644','0755');foreach my $test (@berechttest){sysopen my $fh,"$ENV{DOCUMENT_ROOT}/test$test.txt",O_RDWR|O_EXCL|O_CREAT,sprintf("%04o",$test);} kommt G260 und G520 raus. Für mich wird das immer schlimmer.
        
        Bitte um Aufklärungshilfe. Ich kapiere das nicht.
        10 print "Hallo"
        20 goto 10
        
        Raubtier
        
        2020-04-06 10:11
        
        User since
        2012-05-04
        1070 Artikel
        BenutzerIn
        
        2020-04-06T06:09:40 bianca
        Mit dieser Zeile hier: my @berechttest = (0644,0755);foreach my $test (@berechttest){sysopen my $fh,"$ENV{DOCUMENT_ROOT}/test$test.txt",O_RDWR|O_EXCL|O_CREAT,$test;} bekommen die Dateien 0640 und 0750, wenn ich das per FTP anschaue. Warum? Warum nicht 0644 und 0755?
        
        Haben wir doch versucht zu erklären. Du hast eine umask von 0007. Damit weden alle gesetzten Bits für andere entfernt.
        
        Oktal 07 = Binär 0b111
        
        Du hast also 0644 = 0b 110 010 010
        Deine Umask: 0b 000 000 111
        
        Jetzt mit dem Nicht der Umask und-verknüpfen:
        
        Code: (dl )
        
        1 2 3 4 5 6 7 8 9
        
        110 010 010 && ~(000 000 111) = 110 010 010 && 111 111 000 = 110 010 000 = in oct 6 4 0
        
        Klar?
        
        Die umask von 007 entfernt also alle Bits für "andere", während Berechtigungen für dich und die Gruppe unangetastet bleiben.
        
        Quote
        Mit my @berechttest = ('0644','0755');foreach my $test (@berechttest){sysopen my $fh,"$ENV{DOCUMENT_ROOT}/test$test.txt",O_RDWR|O_EXCL|O_CREAT,$test;} (...) wird das immer schlimmer.
        
        Die Berechtigung ist eine Zahl, kein String! Auf diese Weise verwendest du die Zahlen 644 und 755 (im Dezimalsystem), nicht 0644 und 0755 (oktal).
        
        Edit:
        diese Erklärung geht mal nur von den untersten 9 Bits aus (also ausführen (001), schreiben (010), lesen (100), die sich 3x für andere, für die Gruppe und für dich wiederholen. Höherwertige Bits sind dann für so Dinge wie Sticky usw. Davon halte dich fern. Daher reicht es in 99.9% der Fälle, nur die untersten 3x3=9 Bits zu betrachten. Die Gruppe von 3 Bits kann super im Oktalsystem dargestellt werden, da dort eine Ziffer von 0 bis 7 genau 3 Bits entspricht. Genau so, wie im Hexadezimalsystem 4 Bits einer Ziffer von 0 bis F entsprechen.
        Last edited: 2020-04-06 10:40:29 +0200 (CEST)
        
        haj
        
        2020-04-06 10:26
        
        User since
        2015-01-07
        531 Artikel
        BenutzerIn
        
        2020-04-06T06:09:40 bianca
        Das heißt, du würdest sysopen und mkdir ohne Angabe der Berechtigungen nutzen? Würde in diesem Fall bedeuten, dass Dateien 0660 bekommen. OK das ginge.
        
        Ich würde in nahezu allen Fällen open nutzen und nicht sysopen und mkdir ohne Berechtigungen nutzen. Das war übrigens auch das, was Raubtier empfohlen hatte.
        
        2020-04-06T06:09:40 bianca
        Aber wie genau ist das jetzt mit umask? Was macht das genau?
        
        Das hatten sowohl Raubtier als auch ich schon mal beschrieben, da gehen mir so langsam die Worte aus. Hier ein letzter Versuch: Alle Berechtigungen, die in der umask drinstehen, werden von denen entfernt, die Du bei sysopen und mkdir angibst. Du hast eine umask von 0007, in Buchstaben: ------rwx, also werden bei mkdir und sysopen alle Berechtigungen entfernt, die Du für "others" angegeben hast.
        
        2020-04-06T06:09:40 bianca
        Wofür genau hatte ich die ganzen Id's ermittelt?
        
        Wie komme ich denn jetzt zu einem Script, dass diese ganzen Schritte für mich macht?
        
        Diese Ids sagen Dir, ob Deine CGI-Skripte unter Deiner Benutzerkennung laufen oder nicht. Denn wenn sie unter Deiner eigenen Benutzerkennung ablaufen, kannst Du die Berechtigungen für andere abdrehen. Die sind somit für Dein Skript wichtiger als alle Ausprobiererei.
        
        2020-04-06T06:09:40 bianca
        Kann mit bitte jemand sagen, wie die Syntax für sysopen lauten muss, wenn ich die Berechtigung aus einer Variable beziehe. if (sysopen my $dath,$dateiname,O_RDWR|O_EXCL|O_CREAT,$datber) {...} geht ja nicht. Aber wie muss in dieser Zeile der Parameter $datber richtig lauten, damit die Datei z. B. mit 755 angelegt wird?
        
        Zum wiederholten Mal: Das kannst Du nicht, weil Dir Deine umask ------rwx aus rwxr-xr-x ein rwxr-x--- macht. Wenn Du gezielt eine Datei mit 0755 anlegen willst, dann musst Du entweder vorher die umask ändern, oder nach dem Anlegen der Datei mit chmod die Berechtigung auf 0755 setzen.
        
        2020-04-06T06:09:40 bianca
        Mit dieser Zeile hier: my @berechttest = (0644,0755);foreach my $test (@berechttest){sysopen my $fh,"$ENV{DOCUMENT_ROOT}/test$test.txt",O_RDWR|O_EXCL|O_CREAT,$test;} bekommen die Dateien 0640 und 0750, wenn ich das per FTP anschaue. Warum? Warum nicht 0644 und 0755?
        
        Siehe oben. umask wirkt. Vielleicht verstehst Du's ja anhand dieser Beispiele.
        
        2020-04-06T06:09:40 bianca
        In den Dateinamen steht 420 und 493. Warum? Wieso macht Perl aus 0644 im String eine ganz andere Zahl? Ist das allein wegen der führenden Null in der Definition? Hat das seine Richtigkeit? Ist das in anderen Sprachen auch so? Ich bin darüber eigentlich ziemlich erschrocken, was man im Dezimalsystem mit einer führenden Null anrichten kann.
        
        Das ganze gibt's schon in den Programmiersprache C, Pascal und Java. Und ja, es hat seine Richtigkeit.
        
        Code: (dl )
        
        perl -E "say 'Die Zahlen sind gleich' if 0644 == 420"
        
        Eine führende Null in einem Literal bedeutet in diesen Programmiersprachen, dass die Zahl eben nicht im Dezimalsystem, sondern im Oktalsystem zu lesen ist. Der Wikipedia-Eintrag Oktalsystem weist auch darauf hin, dass die führende Null als Kennzeichnung "zu schwer zu entdeckenden Flüchtigkeitsfehlern führen kann".
        
        Wenn Du die Zahl an Deinen Dateinamen dranhängst, dann gibt Perl sie so aus, wie Perl eben Zahlen ausgibt: Im Dezimalsystem. Wenn Du es im Oktalsystem haben willst, dann brauchst Du printf und das %o-Format.
        
        2020-04-06T06:09:40 bianca
        Mit my @berechttest = ('0644','0755');foreach my $test (@berechttest){sysopen my $fh,"$ENV{DOCUMENT_ROOT}/test$test.txt",O_RDWR|O_EXCL|O_CREAT,$test;} bekommen sie S200 und S360??
        
        Sorry: Hier fängst Du nun wirklich an, herumzustochern. In keiner Dokumentation steht, dass Du die Berechtigungen als Strings angeben kannst. Mach sowas nicht. Bei Strings wirkt die schwarze Magie der führenden Null nicht und Du verfütterst die Dezimalzahlen 644 und 750 als Modus. 644 ist in Oktal 01200, Du erzeugst also eine Datei namens test0644.txt mit --w------T
        
        2020-04-06T06:09:40 bianca
        Und mit my @berechttest = ('0644','0755');foreach my $test (@berechttest){sysopen my $fh,"$ENV{DOCUMENT_ROOT}/test$test.txt",O_RDWR|O_EXCL|O_CREAT,sprintf("%04o",$test);} kommt G260 und G520 raus. Für mich wird das immer schlimmer.
        
        Ja, das wird schlimmer. Mit sprintf("%04o",'0644') erzeugst Du einen String '1204'. Den interpretiert Perl dezimal als 1204, und sysopen macht daraus --w-rwSr--.
        
        Das ist alles so schräg wie Oktalzahlen nun eben mal sind, aber eben auch so beschrieben. Wenn Du Oktalzahlen vermeiden willst, dann nimm die Konstanten von Fcntl: 0644 entspricht S_IRUSR | S_IWUSR | S_IRGRP | S_IROTH, und umask 027 kannst Du auch schreiben als umask S_IWGRP | S_IROTH | S_IWOTH | S_IXOTH oder kürzer umask S_IWGRP | S_IRWXO.
        
        +2 replies
        
        bianca
        
        2020-04-06 12:42
        
        User since
        2009-09-13
        6995 Artikel
        BenutzerIn
        
        Danke Raubtier und haj! Jetzt gab es ein paar mal ein AAHH! Sorry für die Fragerei aber dieses Verhalten mit der führenden Null kannte ich nicht. Ich habe Programmieren auch nie als Beruf gelernt. Alles nur autodidaktisch oder wie sagt man dazu?
        
        Letzte Frage: ich habe in den Scripten jetzt an hunderten Stellen in zig Bibliotheken sysopen und mkdir mit Berechtigungen. Wenn ich das nicht alles ändern aber trotzdem ab sofort ohne Berechtigungen arbeiten möchte, wie kann ich die Variablen belegen, um das so zu sagen funktionslos machen?
        10 print "Hallo"
        20 goto 10
        
        haj
        
        2020-04-06 20:50
        
        User since
        2015-01-07
        531 Artikel
        BenutzerIn
        
        2020-04-06T10:42:14 bianca
        Danke Raubtier und haj! Jetzt gab es ein paar mal ein AAHH! Sorry für die Fragerei aber dieses Verhalten mit der führenden Null kannte ich nicht. Ich habe Programmieren auch nie als Beruf gelernt. Alles nur autodidaktisch oder wie sagt man dazu?
        
        Das ist schon ok - aber gelegentlich ist es auch für Autodidakten sinnvoll, mal eins der einführenden Bücher zu Perl von Buchdeckel zu Buchdeckel durchzuarbeiten. Dann spart man sich so einige Irrwege...
        
        Speziell die Schreibweise der Oktalzahlen mochte ich nie. Ich habe im Mainframe-Bereich angefangen, da sprach jeder hex, und Oktalzahlen galten als Hilfsmittel für die, die einen Schuh ausziehen müssen, um bis 15 zu zählen...
        
        2020-04-06T10:42:14 bianca
        Letzte Frage: ich habe in den Scripten jetzt an hunderten Stellen in zig Bibliotheken sysopen und mkdir mit Berechtigungen. Wenn ich das nicht alles ändern aber trotzdem ab sofort ohne Berechtigungen arbeiten möchte, wie kann ich die Variablen belegen, um das so zu sagen funktionslos machen?
        
        Mit 0640 für Dateien (also bei sysopen) und 0750 für Verzeichnisse (also bei mkdir) kommst Du weit. Die einzige Ausnahme sind die Skripten selbst, die ja vom Webserver auf Ausführbarkeit getestet werden, bevor er Perl startet und die deswegen auch 0750 brauchen. Aber die erzeugst Du ja definitiv nicht mit sysopen.
        
        Ansonsten ist vielleicht die Lektion: Lieber früher mal fragen als etwas in hunderten Stellen einzubauen. Dafür ist das Forum ja da.
        
        +2 replies
        
        bianca
        
        2020-04-06 08:20
        
        User since
        2009-09-13
        6995 Artikel
        BenutzerIn
        
        2020-04-05T22:56:19 haj
        Ansonsten verhindert die umask, dass Dateien, die Deine CGI-Prozesse anlegen, "öffentlich" sind - aber mir ist nicht mal klar, was Du mit "öffentlich" meinst. Hat denn da die Öffentlichkeit Zugang?
        
        Ja das ist das www. test .de /cgi-bin/
        
        Und interne Scripts sind die eigenen sowie CPAN Bibliotheken/Lib's.
        
        2020-04-05T22:56:19 haj
        Somit können andere Kunden nicht in Deine Dateien gucken, wenn Du sie nicht explizit "für alle" aufmachst.
        
        Und weil ich das niemand anderem überlassen möchte haben in meinen Scripten immer alle sysopen's und mkdir's den Parameter für die Berechtigungen angegeben. Ich muss jetzt nur noch einen Weg finden, dessen einmalige Definition automatisch zu finden, damit ich bei einem Wechsel des Hosters nicht immer alles manuell per FTP durchprobieren muss. Und dafür bitte ich um Hilfe.
        10 print "Hallo"
        20 goto 10
        
        haj
        
        2020-04-06 11:29
        
        User since
        2015-01-07
        531 Artikel
        BenutzerIn
        
        2020-04-06T06:20:41 bianca
        2020-04-05T22:56:19 haj
        Somit können andere Kunden nicht in Deine Dateien gucken, wenn Du sie nicht explizit "für alle" aufmachst.
        
        Und weil ich das niemand anderem überlassen möchte haben in meinen Scripten immer alle sysopen's und mkdir's den Parameter für die Berechtigungen angegeben. Ich muss jetzt nur noch einen Weg finden, dessen einmalige Definition automatisch zu finden, damit ich bei einem Wechsel des Hosters nicht immer alles manuell per FTP durchprobieren muss. Und dafür bitte ich um Hilfe.
        
        Das sollte aber wirklich andersrum funktionieren: Wenn Dein hoffnungsfroher Hoster Dir nicht ermöglicht, nicht-öffentliche Daten auch nicht-öffentlich zu behandeln, dann solltest Du ihn verlassen. Genau dazu brauchst Du die Ids, die Du ermittelt hast: Wenn die CGI-Skripte nicht unter Deiner Benutzerkennung laufen, dann musst Du auch die "nicht öffentlichen" Daten mindestens für die Gruppe freigeben. Und wenn Deine Gruppe nicht offensichtlich Deiner Benutzerkennung zugeordnet ist, dann sind wohl mehrere Kunden des Hosters in der gleichen Gruppe.
        
        Mit Deinem bisher geplanten Skript kannst Du vielleicht feststellen, dass bei einem Garagenhoster alles erst funktioniert, wenn alles auf 0750 bzw. 0640 steht. Du weißt aber dann nicht, ob Deine nicht-öffentlichen Daten "nicht öffentlich" sind. In einem unsicheren System gibt es keine nicht-öffentlichen Daten, Dein Skript findet automatisch die richtige unsichere Definition für den Garagenhoster. Bist Du damit denn zufrieden? Und würdest Du ernsthaft Berechtigungen wie 0644 für nicht-öffentliche Daten akzeptieren, wenn Dein Skript Dir meldet, dass es anders nicht funktioniert?

View all threads created 2020-04-03 09:39.