ownCloud-Fork: Neustart des Gründers mit Nextcloud

[Andy+]

Ich mache seit jeher Updates manuell. Zip hochladen, altes Verzeichnis umbenennen, Zip entpacken, die Verzeichnisse config und data kopieren, aufrufen. Das wars, geht flott und hat immer schnell und sicher funktioniert.

 

[Frogman]

Und sollte man auch weiterhin so handhaben, wenn man die gehärteten Permissions nutzt.

 

[rednag]

Was gehört hierzu denn gemacht? Ich habe data außerhalb von /web und rufe die Seite nur über SSL auf. Auch HSTS ist gesetzt. Zumindest werden mir keine Einrichtungswarnungen,- hinweise mehr ausgespuckt.

 

[Frogman]

Guckst Du hier...

 

[rednag]

Hast Du das Scipt einmalig ausgeführt? Was kommt unter

htuser='www-data'
htgroup='www-data'

rein?

Reicht es dieses Script einmal mit dem Aufgabenplaner auszuführen oder wie handhabt Ihr das?

 

[Andy+]

htuser ist http
htgroup ist root

Ich habe das noch nie mit script gemacht, ich nehm da immer WinSCP, das geht schnell.

 

[Frogman]

htuser ist http
htgroup ist root

Das ist falsch... htgroup ist ebenfalls http.

 

[rednag]

Danke euch beiden.

@Andy, Du meinst die Rechte auf die Ordner per WinSCP auf http ändern?

 

[Andy+]

Genau, ist sicher genauso schnell gegenüber dem Start der Aufgabe.

 

[rednag]

Ganz tolle Wurst.
Jetzt wollte ich hochmotiviert die Rechte der Ordner "config", "data" und "apps" auf User "http" und Gruppe "http" mit WinSCP setzen.
Dachte in meiner Naivität das geht so einfach...
Kann da aber nur user und admin auswählen. Mehr ist da nicht drin...

 

[steje43]

Ich mache das über ssh und putty....!

 

[Andy+]

Ganz tolle Wurst.
Jetzt wollte ich hochmotiviert die Rechte der Ordner "config", "data" und "apps" auf User "http" und Gruppe "http" mit WinSCP setzen.
Dachte in meiner Naivität das geht so einfach...
Kann da aber nur user und admin auswählen. Mehr ist da nicht drin...

Anhang anzeigen 33249

Das sind nicht nur Auswahlfelder. Wenn darin http nicht vorkommt, schreibe das einfach darüber.

 

[OdinsAuge]

Ich hab 2 kleine Scripte auf meiner DS, einmal Soften und einmal Harden. Somit kann ich recht schnell die Permissions wechseln und somit ist auch das Update über die Updater App kein Problem und ich brauch auch nicht jedes mal die Zeilen per Hand eingeben. Ich hab noch einige kleine Anpassungen gegenüber dem gemacht was in der Doku steht da dort die Rechte der Files die die Upload-Limits regeln so gesetzt werden, dass man diese nachher über das Webinterface nicht mehr einstellen kann.

 

[Frogman]

Me too

 

[Andy+]

Meinst Du, Du kannst die mal posten? Oder ist es das

#!/bin/bash
ocpath='/var/www/nextcloud'
htuser='www-data'
htgroup='www-data'
rootuser='root'

printf "Creating possible missing Directories\n"
mkdir -p $ocpath/data
mkdir -p $ocpath/assets
mkdir -p $ocpath/updater

printf "chmod Files and Directories\n"
find ${ocpath}/ -type f -print0 | xargs -0 chmod 0640
find ${ocpath}/ -type d -print0 | xargs -0 chmod 0750

printf "chown Directories\n"
chown -R ${rootuser}:${htgroup} ${ocpath}/
chown -R ${htuser}:${htgroup} ${ocpath}/apps/
chown -R ${htuser}:${htgroup} ${ocpath}/assets/
chown -R ${htuser}:${htgroup} ${ocpath}/config/
chown -R ${htuser}:${htgroup} ${ocpath}/data/
chown -R ${htuser}:${htgroup} ${ocpath}/themes/
chown -R ${htuser}:${htgroup} ${ocpath}/updater/

chmod +x ${ocpath}/occ

printf "chmod/chown .htaccess\n"
if [ -f ${ocpath}/.htaccess ]
then
chmod 0644 ${ocpath}/.htaccess
chown ${rootuser}:${htgroup} ${ocpath}/.htaccess
fi
if [ -f ${ocpath}/data/.htaccess ]
then
chmod 0644 ${ocpath}/data/.htaccess
chown ${rootuser}:${htgroup} ${ocpath}/data/.htaccess
fi

 

[OdinsAuge]

Meinst Du, Du kannst die mal posten? Oder ist es das

#!/bin/bash
ocpath='/var/www/nextcloud'
htuser='www-data'
htgroup='www-data'
rootuser='root'

printf "Creating possible missing Directories\n"
mkdir -p $ocpath/data
mkdir -p $ocpath/assets
mkdir -p $ocpath/updater

printf "chmod Files and Directories\n"
find ${ocpath}/ -type f -print0 | xargs -0 chmod 0640
find ${ocpath}/ -type d -print0 | xargs -0 chmod 0750

printf "chown Directories\n"
chown -R ${rootuser}:${htgroup} ${ocpath}/
chown -R ${htuser}:${htgroup} ${ocpath}/apps/
chown -R ${htuser}:${htgroup} ${ocpath}/assets/
chown -R ${htuser}:${htgroup} ${ocpath}/config/
chown -R ${htuser}:${htgroup} ${ocpath}/data/
chown -R ${htuser}:${htgroup} ${ocpath}/themes/
chown -R ${htuser}:${htgroup} ${ocpath}/updater/

chmod +x ${ocpath}/occ

printf "chmod/chown .htaccess\n"
if [ -f ${ocpath}/.htaccess ]
then
chmod 0644 ${ocpath}/.htaccess
chown ${rootuser}:${htgroup} ${ocpath}/.htaccess
fi
if [ -f ${ocpath}/data/.htaccess ]
then
chmod 0644 ${ocpath}/data/.htaccess
chown ${rootuser}:${htgroup} ${ocpath}/data/.htaccess
fi

Richtig, darauf basiert mein Script. Ich hab nur einige Änderungen da mein data Ordner wo anders liegt und eine Ergänzung für die .user.ini da ich nginx benutze.
Außerdem hab ich bei der .htaccess/.user.ini nicht "chown ${rootuser}:${htgroup} ${ocpath}/data/.htaccess" sondern "chown ${htuser}:${htgroup} ${ncpath}/.htaccess".

Und für Updates:
#!/bin/bash

chown -R http:http /volume1/web/nextcloud/
chown -R http:http /volume1/web/nextcloud/apps/
chown -R http:http /volume1/web/nextcloud/config/
chown -R http:http /volume1/web/nextcloud/themes/

chown http:http /volume1/web/nextcloud/.htaccess

find /volume1/web/nextcloud/ -type f -print0 | xargs -0 chmod 777

find /volume1/web/nextcloud/ -type d -print0 | xargs -0 chmod 777

chmod 777 /volume1/web/nextcloud/.htaccess

 

[rednag]

Ok, für das Scrip bin ich zu doof das umzusetzen.
Habe jetzt wie von @Andy+ geschrieben für die Ordner "config" und "apps" per WinSCP auf "http" gesetzt. Manuell halt reingeschrieben.
Nun kommt:

 

[Andy+]

Das config und eigentlich alle anderen Verzeichnisse sollten mindestens 755 oder vlt. sogar 775 haben. So mach ich das in dem Fall. Aber 777 ist zu hoch.

 

[rednag]

Hey, danke für die schnelle Hilfe.
Hab jetzt die Rechte schon in der File Station auf "http" und Rekursiv geändert. Leider ändert das nichts. Die Warnung erscheint weiterhin. Besteht die Möglichkeit das auf der Konsole wieder zu richten?

 

[Andy+]

Dann solltest Du prüfen, ob Du http auch Schreibrechte bei web bzw. config hinterlegt hast und das auch für die Unterverzeichnisse gilt. Das steht da ja auch in der zweiten Zeile. Standardmässig hat http nämlich nur Leserechte.