Почему у php недостаточно прав на перезапись файлов?

Question

[MyQuestion]

Добрый день!

На тестовой реализовали оптимизацию изображений, через библиотеку imageMagick. Запускается через php скрипт. Всё отлично, переношу на бой - ошибка. Не хватает прав. Если только "запись" фала из публички открыта, тогда работает. Я поискал информацию, проверил под каким пользователем работает php, это стандартный www-data. На обоих серверах. Проверил в каких группах они состоят и оказалось, что нигде у них особых привилегий нет. Т.е. состоят в своей группе www-data. Владелец файлов - root и он состоит в какой-то дефолтной группе пользователей.

Вопрос в том, почему на тесте, при тех же условиях, я могу перезаписывать файлы, а на боевом - нет?
Может кто-то сталкивался с подобным? Какие тут варианты решений могут быть, что ещё можно проверить?

Comments

[Ипатьев]

а с какого перепугу владельцем файлов является рут?

[AUser0]

Проверяйте права доступа у папки, в которой PHP (из-под Apache, то есть www-data) пытается что-то делать с файлом(ами). Ну и у файлов в этой папке, если нужно иметь доступ к уже существующим файлам.

P.S. Самое просто - сравнить владельцев/права той самой директории на тестовом сервере и на боевом сервере.

[Dmitry Bay]

Ипатьев, а почему не может быть root владельцем прав?

[Adamos]

Dmitry Bay, а почему не могут грабли лежать посреди дороги?

[MyQuestion]

Ипатьев, под рутом я подключаюсь через фтп клиент, почему так сделали, я не знаю. Мне просто передали проект и такие уч. данные. Соответственно файлы закаченные по фтп, автоматически будут с этими правами. Это проблема?

[Ипатьев]

Dmitry Bay, а кто-то говорил что не может?

[Dmitry Bay]

Adamos, ну так могут же.

[pfg21]

Rsync'ом синхронизировать права и файлы между тестовым и боевым.
заодно сравнить из под кого запускается php/php-fpm на боевом и тестовом
и т.д.

[Ипатьев]

MyQuestion, разумеется, это проблема. Причем проблема куда большая, чем мелкие неудобства с файлами.
Этот проект настраивал жопорукий админ, который сделал доступ по фтп для рута, и ещё, небось, без шифрования.

Собственно, у вас вариантов мало: либо делать доступ к файлам на чтение для всех (что, в общем случае, особой проблемы не должно создавать) либо делать владельцем файлов www-data.
Ну или настраивать по-человечески, создав нормального пользователя фтп, добавив в его группу пользователя ввв-дата, и сделав доступ на запись для группы

[Ипатьев]

pfg21, боюсь, вы не совсем понимаете, что такое тестовый сервер.

[MyQuestion]

Ипатьев, ок, это понятно, не понятно только, как на тестовой это работает, когда владелец файлов - begetuser состоящий в группе "somegroup", а пользователь www-data состоит в группе "www-data". При этом скрипт работает без проблем. Если у меня php user это www-data, тогда вариантов, что апач запускает php из под пользователя begetuser нет, так?

А если www-data добавить в группу рута? И дать пользователям группы право на запись? Пользователь может состоять только в одной группе?

[Ипатьев]

добавлять пользователя, под которым выполняется РНР, в группу рута - это тушить пожар бензином.

спрашивать нас как работает, описывая свои проблемы невнятными репликами - занятие бессмысленное.
"Мальчик жестами показал, что его зовут Хуан".
Нет никакой гарантии, что ваши путанные описания соответствуют действительности
Нет никакой гарантии, что вы транслируете всю необходимую информацию. Например про апач вы упомянули только сейчас, и при этом так и не сообщили, по какой модели он работает - как модуль или фпм. Причем во втором случае с пхп файлами работает фпм, а не апач.

Вместо того чтобы задавать посторонним людям риторические вопросы "апач запускает php из под пользователя begetuser" надо просто взять и посмотреть. На своем сервере

[Дмитрий]

Вариант не перезаписывать, а добавлять новый обработанный с новым именем, например с постфиксом _processed

[MyQuestion]

Ипатьев, да я всё понимаю, но в то же время, Вас не интересует доп. информация. Я же просто не понимаю, какие мне тесты провести, что бы Вам стало понятней. Какую информацю кроме хоста, необходимо предоставить.

В целом оказалось, что права на тесте всё таки правильные. Ftp пользователь и пользователь php, один и тот же.
Я всё равно не понимаю, что плохого, что файлы и ftp от рута. ftp с шифрованием, sftp, если вы об этом )

[pfg21]

Ипатьев, наверное.
в моем понимании на тестовой железяке сайт до водится до ума, тестируется на ошибки, если такое понимание есть в пэхэпэ. апосля оттестированный сайт деплоится на боевой и включается в работу.

[MyQuestion]

pfg21, тестовую мне пришлось делать, после того, как проект прожил минимум 5 лет )

[Ипатьев]

pfg21, правильно.
Вот только зачем в этой схеме синхронизировать файлы? И ТЕМ БОЛЕЕ - с тестового на боевой?

[pfg21]

Ипатьев, дык стандартно, чтобы было меньше ошибок в мелочах переноса. а то получится на тестовом одно (проверенное и отработанное), а на боевом другое (в принципе то что и произошло у %ts%).

[Ипатьев]

pfg21, вы, видимо, все-таки не понимаете, что такое тестовый сервер.
В том смысле что никогда с таким не работали. А воображаете себе каких-то розовых пони вместо него.
Потому что иначе столь дикая мысль просто не пришла бы вам в голову. Причем дикая по множеству причин.
Вы, видимо, не в курсе, что, к примеру, версия программных файлов на тестовом сервере всегда больше, чем стабильная версия на боевом. Просто в силу самого смысла тестового сервера. На котором тестируются новые версии кода.
Или вы зачем-то предлагаете держать на тестовом сервере полную копию пользовательских файлов с боевого. Хотя на тестовом эти файлы сто лет в обед не нужны, и будут только занимать место.
Ну и зачем-то вы предлагаете выливать на боевой сервер любые бредовые картинки, которые заливаются на тестовый при проведении тестов. Отличная идея, да.

[pfg21]

Ипатьев, аз ю виш мастэ :)
в моем понимании когда сайт протестирован на тестовом и все вопросы утрясены, то с тестового клонируется/деплоится его состояние на боевой.
да, на тестовом имеет полноценно рабочая копия сайта. или несколько тестовых веток сайта, с вероятностью недоделок и всего такого. плюс в загашнике набор архивов релизных состояний сервера, бекапы и все такое.
если тестовый упадет, развалится или бахнет в небо синим дымом то проблем не будет.
на боевом же никаких редактирований, изменений, ковыряний нет. только клонирование с тестового. минимум сторонних/лишних функций - минимум точек вскрытия, минимум вариантов для падения. минимум времени простоя, даже для перехода на новую версию.
если ты пилишь сайт вживую на боевом сервере, то тебе можно только посочувствовать... :)

[Ипатьев]

pfg21, вы продолжаете разговаривать с розовыми пони в своей голове :)
Собеседник вам для этого не нужен, продолжайте самостоятельно

Answer 1

[Stalker_RED]

Запускается через php скрипт.

как именно запускается? Через SSH-консоль, через вебсервер, может через крон? Это все может быть под разными пользователями.

Для начала разобраться какие пользователи вообще замешаны. Для этого на боевом сервере делаешь эксперимент:
создаешь файлик от имени обычного скрипта, от имени вашего опртимизатора, и от имени фтп-заливки.
Вот прям создай папочку "test" и залей в нее hello_ftp.txt через ftp
Затем из php скрипта сделай file_put_contents('test/hello_php.txt', 'foo');
И в оптимизатор тоже добавь похожее file_put_contents('test/hello_optimizator.txt', 'foo');

Затем зайди через SSH в папку test, напиши ls -l
Если SSH нет, то можно опять-же сделать скриптом

$files = glob('/path/to/test/*');
foreach ($files as $fn) {
    echo $fn . ' | ' . fileowner($fn) . '<br>' . PHP_EOL;
}

Скорее всего найдутся отличия. Останется придумать как изменить способ запуска, чтобы проблема не поворялась в будущем, ну и поправить владельца у уже существующих файлов (chown).

Comments

[MyQuestion]

из админки по клику, регистрируется событие, запускается обработчик. Получается через вебсервер.

Спасибо, я проверил, у меня выходит так, что на тестовом, и php и пользователь ftp работают из под одного и того же пользователя. А на боевом, ftp из под рута, а php из www-data. Хотя функция whoami, почему-то говорила, что php пользователь www-data. Скорее всего я просто перепутал.

Я так понимаю, www-data, такой пользователь прописан в apache, тогда вопрос - безопасно ли менять пользователя www-data на root, что бы скрипты выполнялись из под рута?

Или всё таки лучше создать нового пользователя и рекурсивно сменить владельца?

[Stalker_RED]

MyQuestion, если вы запустите php из-под рута, то любая дыра в php даст злоумышленнику рутовый доступ к серверу.
И подход "да какому хакеру нужен мой сервер, там ничего нет важного" не работает. Вас будут ломать боты, чтобы с вашего сервера еще кого-нибудь ломать или DDOS-ить.

[MyQuestion]

Stalker_RED, спасибо

Answer 2

[Dmitry Bay]

1) Добавляете пользователя нового, например admin, с привилегией sudo. Добавляете его в группу www-data
2) Загружаете файлы от имени этого пользователя в дальнейшем.
3) Выставляете необходимые права при необходимости. К примеру вот - владелец admin, и группа www-data у файла
-rwxrwxr-x 1 admin www-data 3958 Jul 1 10:38 README.md

В вашем конкретном случае, проще всего написать что-то типа

sudo chown -R www-data:www-data /webdirectory
sudo chmod -R 0755 /webdirectory

Comments

[Ипатьев]

ахаха, чтобы решить проблему с рутом, надо сделать нового пользователя... с правами рута!
вам не кажется, что это решение немного попахивает рекурсией? :)
особенно учитывая, что смысл наличия привилегии sudo для этого пользователя как-то не слишком понятен

[Dmitry Bay]

Ипатьев, да, возможно.

[Dmitry Bay]

Ипатьев, странно, я думал там как минимум нужно инициализировать пароль при возможной команде sudo.
Почитаю про это.
Тот же composer install не ругается, если я запускаю скрипт из под такого пользователя.