All-Inkl: Verwirrung bei Dateirechten und der Trennung von PHP- und FTP-Benutzer

Nur wenige (große) Hoster in Deutschland bieten eine echte Trennung zwischen PHP-Benutzer und FTP-Benutzer (eine Übersicht gibt es hier). All-Inkl ist einer der Anbieter, die diese Möglichkeit geben. Trotzdem kann das zu Verwirrung führen.

Ob eine Trennung von PHP- und FTP-Benutzer nun sicherer ist und ob es auch für Laien sinnvoll ist, einen Webspace in dieser Form zu nutzen, soll in diesem Artikel gar nicht behandelt werden. Es gibt viele Experten, die eine Trennung der Benutzer empfehlen, da dadurch Angreifer weniger Möglichkeiten haben, das System zu manipulieren. Allerdings holt man sich gleichsam ein paar Besonderheiten ins Haus, so dass zum Beispiel das Auto-Update von WordPress nicht mehr ohne Weiteres funktioniert. Man sollte also wissen, was man tut.

Auch möchte ich direkt klar stellen: es ist keinesfalls schlecht, wenn PHP- und FTP-Benutzer getrennt sind. All-Inkl macht hier insgesamt einen guten Job.

Die Verwirrung beginnt jedoch, bei den Einstellmöglichkeiten für die PHP-Version. Generell bietet All-Inkl eine PHP-Version an, die als Apache-Modul ausgeführt wird. Wird diese genutzt, sind PHP- und FTP-Benutzer getrennt. Wählt man jedoch eine andere PHP-Version im Backend aus, werden diese als CGI/FPM ausgeführt. In diesem Fall gibt es die Trennung beider Benutzer nicht mehr.

Auswahl der PHP-Versionen bei all-inkl: PHP kann sowohl als Apache-Modul als auch als CGI/FPM ausgeführt werden.

Ein häufiger Grund für die Auswahl eines einer PHP-Version, die als CGI/FPM ausgeführt wird, ist der Wunsch nach einer neueren PHP-Version. Die als Apache-Modul angebotene Version von PHP ist manchmal veraltet. Hier hilft jedoch ein Anruf beim Support. Der Umzug auf einen anderen Server ist meistens kein Problem und damit steht dann auch eine aktuelle PHP-Version als Apache-Modul zur Verfügung.

Wichtig zu merken ist: nur wenn PHP als Apache-Modul ausgeführt wird, sind PHP- und FTP-Benutzer wirklich getrennt und Dateirechte mittels chmod machen Sinn. Wird PHP als CGI/FPM ausgeführt, sind Dateirechte wirkungslos. Für den Laien schwer zu durchschauende Details…

Hoster: All-Inkl

3 Kommentare

  1. Hallo,
    gleiche Stolperfalle, Trennung von PHP- und FTP-Nutzer bei HostEurope, selbst bei PHP 7.0: Bei Upload via FTP wird den Dateien der FTP-Nutzer als Besitzer zugewiesen. Per FTP upgeloadete WordPress- oder Joomla-Systeme funktionieren somit nicht einwandfrei, da kein Zugriff auf Ordner und Dateien möglich ist.
    Lösung: Zunächst normal uploaden per FTP, dann im HostEurope-Backend unter „Webspace & Nutzer“->“Dateiverwaltung“ den Besitzer von http://ftp….auf wp… inkl. aller Unterverzeichnisse (Option „rekursiv“) umstellen.
    So richtig ist mir der Sinn nicht klar – habe ich nun durch die Umstellung auf den www-Nutzer die Sicherheit herabgestuft?

    Hi,
    same issue with HostEurope, even with PHP 7.0: Files that have been uploaded via FTP are owned by the FTP-User. For instance, WordPress and Joomla, don’t work because they don’t have the permission to edit files and directories.
    Solution: Upload your files via FTP, then go to the HostEurope-Backend to „Webspace & User“->“File Administration“ and change the owner of all files and directories from http://ftp... to wp….

    • Hallo Florian,
      bei HostEurope gibt es ein ähnliches Problem, es ist jedoch anders gelagert. Beim Anlegen eines FTP-Zugangs kann man dort den FTP-Benutzer bestimmen (ftp… oder wp…). Bleibt der FTP-Benutzer dort auf http://ftp... dann sind die Dateien, die man per FTP hochlädt tatsächlich nicht von WordPress (resp. vom PHP-Benutzer) änderbar und man muss die Dateien umstellen, so wie du es beschrieben hast.
      Stellt man aber den FTP-Zugang von Anfang an korrekt ein, bleiben einem diese Umstellungen erspart.
      Aus Sicherheitssicht ist es so, dass natürlich Dateien, die vom PHP-Benutzer nicht schreibbar sind, auch nicht von einem Angreifer, der über eine Sicherheitslücke (zB in WordPress) Zugang erlangt, geändert werden können. Insofern ist das schon ein gewisser Schutz, den man durch die Anpassung der Benutzer aushebelt. Hier muss man dann immer zwischen Sicherheit und Praktikabilität abwägen.
      Grüße, Marc

      • Hi Marc,
        danke für die Infos. Darauf muss man erstmal kommen, wenn man den FTP-Nutzer irgendwann vor Jahren mal eingerichtet hat 🙂 Das macht es ein bisschen einfacher.
        LG,
        Florian

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.