Frage zu Verzeichnis und Datei Berechtigungen

Hallo,

es hei├čt ja, im Nextcloud-Verzeichnis sollten alle Verzeichnisse die Zugriffsberechtigung 750 und alle Dateien die Zugriffsberechtigung 640 haben.
Kann ich dass dann so machen:
grafik
oder darf ich dann das Backup einspielen?
Was bedeutet eigentlich Andere, ich greife ja auch ├╝ber mein Smartphone und Windows Client zu.
Sind Andere wie Jeder in Windows?

Gru├č

Ich wei├č ja nicht womit du das machst. Die Frage ist aber eher: warum?

Nur weil es irgendeiner vorschl├Ągt oder es in einer Doku steht? Meistens (wohl auch bei dir) ist ÔÇťAndereÔÇŁ wie ÔÇťGruppeÔÇŁ festgelegt.

Paar Infos mal im Bezug auf Nextcloud:

Eigent├╝mer: www-data (Webserver-Benutzer, Nextcloud-Benutzer)
Gruppe: www-data (weitere Benutzer als den Benutzer www-data hat die Gruppe meist sowieso nicht, somit meist unn├Âtig dieser Eintrag)
Andere: weitere Benutzer auf dem Linux-System (meist kein wirkliches Risiko, da nur Leseberechtigung)

Es ist halb so wild ob nun Andere (z. B. dein privater Benutzer, ÔÇŽ) auch Zugriff haben. root hat sowieso Zugriff. Wenn du nicht gerade eine Business-Nextcloud betreibst, kannst du das ignorieren.

Somit w├╝rde ich es nicht ├Ąndern. Statt irgendwelcher Sicherheitsvorgaben einfach anzuwenden, versuche zu verstehen, was das ganze ├╝berhaupt soll. Damit erreichst du bzgl. Sicherheit meistens mehr.

Bezieht sich nur auf die Benutzer auf dem Linux-System wie dein Linux-Benutzer. Mit den Nextcloud-Clients hat das nichts zu tun. Von au├čen kann nur ├╝ber den Webserver/Nextcloud-Anwendung zugeriffen werden, der in der Identit├Ąt von www-data l├Ąuft. www-data ist ├╝ber Eigent├╝mer berechtigt.

mein Verzeichnis-Recht ist durchwegs 755 und Datei-Recht ist 644.
Empfehlung steht hier:
https://docs.nextcloud.com/server/13/admin_manual/maintenance/manual_upgrade.html

Eigent├╝mer ist XYZ, Gruppe ist XYZg.
XYZ habe ich von meinem Anbieter erhalten und wird der Benutzer www-data sein.

Achso, Andere (z. B. privater Benutzer) ist ein Linux-Benutzer, nicht Nextcloud-Benutzer.
Dann lasse ich es wirklich so, es gibt nur einen Linux-Benutzer, mich.

1 Like

Ich habe mal einen Issue erstellt. Vielleicht wird der Teil der Dokumentation ja ├╝berarbeitet.

der Vollst├Ąndigkeit halberÔÇŽ das steht auch im aktuellen (NC25) Handbuch, du brauchst nicht auf NC13 zur├╝ckzugreifen :wink:

https://docs.nextcloud.com/server/25/admin_manual/maintenance/manual_upgrade.html

Zum Verst├Ąndnis, wenn ich einen 2. Linux-Benutzer anlegen w├╝rde, dann h├Ątte der Lesezugriff?
Mit Recht 750/640 keinen Zugriff.
Dann ist die Empfehlung doch gut.

Mein Webspace-Anbieter hat mir einen Benutzernamen zugeteilt, das ist doch der www-data?
Kann ich ├╝berhaupt einen 2. Linux-Benutzt anlegen, habe kein Root-Recht.

Ja das stimmt. Dein Benutzer und auch ein zweiter Benutzer hat Lesezugriff auf die Struktur unterhalb z. B. von /var/www/nextcloud und vielleicht ist das z. B. bzgl. Dateien auch ein Problem. Trotzdem kann man sich nat├╝rlich fragen, warum man diese Anpassung oft f├╝r andere Webserveranwendungen unterhalb von /var/www nicht durchf├╝hrt.

Ich denke f├╝r den Heimanwender ist das alles unproblematisch. Normalerweise haben ja auch keine normalen Benutzer (Familie) einen Linux-Account (SSH) auf dem Linux-Server, sondern nur Benutzer in Anwendungen wie z. B. Nextcloud oder Samba. Und das ist unkritisch. Als Admin bleibt man liebe auf dem Linux-Rechner alleine. :wink: Und wenn diese Personen SSH-Zugriff haben, so gibt es automatisch unn├Âtige Risiken, die vielleicht auch durch Ordner- und Dateirechte nicht immer vollst├Ąndig abgedeckt werden. Aber auch deinen SSH-Account kannst du nat├╝rlich (z. B. durch 2FA, SSH-Schl├╝ssel) besser absichern, denn sp├Ątestens ├╝ber root oder www-data erh├Ąlst du Zugriff auf alle Nextcloud-Dateien.

1 Like

Ok, alles klar devnull, da ich alleine SSH-Zugriff habe (sogar ├╝ber SSH-Schl├╝ssel*) und sonst auch nur ein Linux-Benutzer existiert, erspare ich mir die Arbeit.
Jetzt ist mir jedenfalls die Problematik klar.
Ein 2. Linux-Benutzer sollte auf die Nexcloud-Daten, also nur den Daten-Ordner, keinen Zugriff haben und auch nicht in meiner Gruppe sein.

  • habe ich m├╝hevoll recherchiert wie und am Schluss bringt es mir rein gar nichts.
    Mein Anbieter kann f├╝r mich den PW-Login nicht deaktivieren :weary:

Einfach ein ziemlich kompliziertes Passwort dort vergeben und dann wegwerfen. :wink: Wobei es muss gar nicht kompliziert sein. Es ist einfach Quatsch, dass Passw├Ârter durch Ausprobieren gehackt werden. Sie werden eher mitgelesen.

genau so habe ich es gemacht.

Wie mitlesen bei einer verschl├╝sselten Verbindung?
SFTP!

Auf dem Client durch Malware / Keylogger oder auf dem Server, der ├╝ber andere Wege gehackt wurde. Auch sind manchmal die verwendeten Kryptoverfahren zur Verschl├╝sselung unsicher. Bei SFTP aber eher nicht.

Am besten w├Ąre es, wenn du auf dem Client statt Windows Linux verwendest.
Ich denke das ist der gr├Â├čte Sicherheitsgewinn f├╝r deinen Remote-Server.
Umgekehrt ist dein Desktop wohl das gr├Â├čte Risiko f├╝r deinen Remote-Server.