checkdomain: Zusatz-FTP-Benutzer haben keine Rechte
Es ist ein sehr löblicher Schachzug der Hoster, dass man in einem Hostingpaket mehr als einen FTP-Benutzer haben kann. So kann man für Mitarbeiter oder sogar externe Dienstleister (Agenturen oder so – soll ja mal vorkommen) Zusatz-Accounts vergeben, die zum Beispiel nur auf ein Unterverzeichnis Zugriff haben. Dumm nur, wenn dann gar nix mehr geht…
Der nachfolgend beschriebene Ablauf ist nicht konstruiert, sondern exakt so geschehen. Ein Kunde hat mit seinem FTP-Haupaccount eine WordPress-Installation angelegt. Einige Zeit später wurde ich engagiert, mich als Dienstleister um diese Seite zu kümmern. Natürlich hat der Kunde mir einen eigenen FTP-Account eingerichtet, mit dem ich nur Zugriff auf das Verzeichnis dieser einen Installation hatte.
Leider stellte ich recht schnell fest, dass ich nichts machen durfte:
- Dateien überschreiben: geht nicht
- Dateien löschen: geht nicht
- Neue Dateien anlegen: geht im Hauptverzeichnis, sonst nicht
Der Grund ist recht einfach erläutert: im Installationverzeichnis hatten alle Dateien die Rechte „644“ und Verzeichnisse „755“, was soviel bedeutet, dass nur der Besitzer der Dateien Schreibrechte hat, alle anderen Nutzer nicht. Die Dateien gehörten dem FTP-Hauptbenutzer, also hatte ich mit meinem FTP-Zusatznutzer keine Rechte.
Soweit ist dies alles logisch und technisch gesehen auch korrekt. Auch die Rechtevergabe als solches (644/755) ist für WordPress mehr als üblich.
Der Haken an der Geschichte: es gibt bei checkdomain keine Möglichkeit, die Besitzrechte zu übertragen. Weder via FTP, noch per SSH oder per Hoster-Backend. Dies bestätigte mir auch nochmal der (gute) checkdomain-Support via Chat.
Es bleiben nur zwei Möglichkeiten:
- Dateirechte ändern auf 664 für Dateien und 775 für Verzeichnisse
- Dateien als Hauptbenutzer löschen und als Zusatzbenutzer neu anlegen
Das die zweite Möglichkeit keine Option ist, versteht sich von selbst. Mit der Änderung der Dateirechte wie in der ersten Variante beschrieben, wird auch allen Benutzern, die derselben Gruppe angehören, Schreibrechte auf Dateien und Verzeichnisse gewährt, die dem Hauptbenutzer gehören.
Damit wären diese Dateien dann von allen FTP-Benutzern (auch anderen Zusatz-Benutzern desselben Accounts) schreibbar. Für den für mich bereitgestellten Zusatzbenutzer kein Sicherheitsproblem. Durch die Definition des Startverzeichnisses, habe ich keine Chance auf Daten außerhalb des mir zugewiesenen Verzeichnisses zuzugreifen.
Trotzdem sehr verwirrend, dass eine 66x/77x-Konfiguration notwendig sein muss, um hier Zusatzbenutzern Zugriff zu geben. Eine Möglichkeit, im Backend Verzeichnisse auf andere FTP-Benutzer zu übertragen würde hier das Problem viel eleganter lösen, da gewohnte Rechte in 64x/75x-System behalten werden könnten.
Hoster: checkdomain
Jeder Hauptuser von Speicherplatz hat eine eigene Gruppe und die Server haben eine „umask“ von „002 002“ (FTP, SSH und Local) – die Gruppe hat somit auch Schreibrecht auf Dateien und Verzeichnisse. Es ist allerdings möglich, daß der Eigentümer einer Datei / eines Verzeichnisses die Rechte abändert oder Dateien/Verzeichnisse mit abweichenden Rechten anlegt. Dieses ist in dem von Ihnen geschilderten Fall, auch so passiert – die Verzeichnisse und Dateien waren schon vor dem Anlegen des Zusatz-FTP-Benutzer vorhanden, gehörten den Haupt-FTP-Benutzer und dieser hatte das Gruppenschreibrecht entfernt. Dadurch durfte der Zusatz-FTP-Benutzer nicht mehr schreibend auf diese Dateien und Verzeichnisse zu greifen.
Ihren Kritikpunkt „das es in unserem Backend keine Möglichkeit gibt, FTP-Benutzer zu übertragen“ bin ich angegangen und technisch ist es gelöst – der Checkdomain-Support kann es bereits umstellen. In unserem Frontend für Kunden muß es allerdings noch integriert werden.
Genau, das gleiche Problem haben wir auch beim Hoster entdeckt.