Gestern wurde ich um Tipps zu Datei- und Verzeichnisrechten auf Webservern gebeten. Spontan konnte ich leider nur eine grundsätzliche Antwort geben: “Sei sparsam und vorsichtig mit der Vergabe von Rechten für deine Dateien und Verzeichnisse!”. Natürlich habe ich zusätzlich versprochen mich kurze Zeit später wieder zu melden und etwas präziser zu antworten.

Wenn man sich grundsätzliche Gedanken zur Rechtevergabe macht müssen alle Dateien und Verzeichnisse abgesichert werden. Besondere Sicherheit ist aber geboten wenn es um Konfigurationsdateien geht die z.B. Passwörter für den Zugang zu Datenbanken o.ä. enthalten.

Folgende Rechte sollten höchstmögliche Sicherheit bieten:

Für statische Inhalte wie Webseiten und Bilder, wie z.B. *.htm, *.html, *.gif, *.jpg, *.png, gilt: Der Besitzer darf Lesen und Schreiben, die Besitzer-Gruppe darf nur Lesen und es werden keine sonstigen Berechtigungen erteilt. Dies entspricht dem Dateirecht 640.

Für dynamische Inhalte wie Skripte, wie z.B. *.php, *.cgi, *.js, gilt: Der Besitzer darf Lesen, Schreiben und Ausführen, der Besitzer-Gruppe sowie der Sonstigen werden keine Rechte zugeteilt. Dies entspricht dem Dateirecht 700.

Für Konfigurationsdateien die von Scripten ausgelesen werden, wie z.B. die klassische config.inc.php, gilt: Der Besitzer darf Lesen und Schreiben, der Besitzer-Gruppe sowie der Sonstigen werden keine Rechte zugeteilt. Dies entspricht dem Dateirecht 600.

Für Verzeichnisse gilt: Der Besitzer dar Lesen, Schreiben und Ausführen. Die Besitzer-Gruppe darf nur Ausführen und die Sonstigen bekommen keine weiteren Rechte. Dies entspricht dem Verzeichnisrecht 710.

Soll der Inhalt eines Verzeichnisses durch den Webserver angezeigt werden, benötigt das jeweilige Verzeichnis folgende Rechte: Der Benutzer darf Lesen, Schreiben und Ausführen. Die Besitzer-Gruppe darf Lesen und Ausführen aber die Sonstigen bekommen keine weiteren Rechte zugeteilt. Dies entspricht dem Verzeichnisrecht 750.

Wenn man sich an diese Empfehlungen hält, sollten die Dateien und Verzeichnisse auf dem Webserver optimal vor dem unberechtigten Zugriff Fremder geschützt sein.