Frage zum /tmp Verzeichnis

Du kannst unter "settings" den Pfad zu deinem "tmp" Verzeichnis selbst bestimmen. Es scheint aber so, als hätte PHP nicht genügend Rechte um das "tmp" Verzeichnis anzulegen...

ich habs hingekriegt, danke!
hab einen tmp-ordner im html verzeichnis angelegt.
ging nur nicht oberhalb des html-verzeichnisses.

druwal

Das ist das Geheimnis von open_basedir.

Allgemein stellt es ein Sicherheitsrisiko dar, das Verzeichnis für temporäre Dateien innerhalb des vom Web-Server erreichbaren Kontextes zu stellen.

Mögliche Abhilfen:

Wenn Du Zugriff auf die Server-Konfiguration hast (z. B. weil es Dein dezidierter Server ist), erstelle ein Verzeichnis oberhalb des Web-Verzeichnisses (User wwwrun, Gruppe www, ggf. anpassen!, chmod 770) und ändere die PHP-Konfiguration in der Apache-Konfiguration dahingehend, dass das Verzeichnis auch bei aktiviertem open_basedir erreichbar ist.

Wenn Du keinen Zugriff auf die Server-Konfiguration hast, ist der sinnvollste Wert für das Verzeichnis /tmp. Zwar besteht dadurch ein latentes Sicherheitsrisiko, da mehrere virtuelle Web-Präsenzen sich dieses Verzeichnis teilen, aber dieses ist relativ (!) gering, in jedem Fall geringer, als die jetzt von Dir gewählte Variante.

Sollte das nicht funktionieren, hat Dein Hoster seinen Server nicht gerade vorbildlich konfiguriert. In diesem Fall solltest Du den Hoster kontaktieren und auf das Problem aufmerksam machen. Unabhängig davon solltest Du die Daten tmp/.htaccess mit folgendem Inhalt anlegen:

Sofern der Server zumindest rudimentär richtig konfiguriert ist, kann auf den Inhalt des Verzeichnisses nicht mehr mit einem Web-Browser o. ä. zugegriffen werden.

Auf die Server Konfiguration habe ich keinen Zugriff (shared host).

Das Verzeichnis /tmp wäre auf derselben Ebene wie die Verzeichnisse html, log, backup, restore, phptmp,etc. Mir fehlen schon die Rechte um das tmp Verzeichnis hier anzulegen, und mein Provider will mir das hier auch nicht erstellen.

So wie ich das tmp Verzeichnis jetzt angelegt habe /html/tmp kann mit dem Browser auch nicht darauf zugegriffen werden, obwohl ich keine .htaccess in diesem verzeichnis habe. Folgende Fehlermeldung bei Aufruf /html/tmp:

Zugriff verweigert!
Der Zugriff auf das angeforderte Verzeichnis ist nicht möglich. Entweder ist kein Index-Dokument vorhanden oder das Verzeichnis ist zugriffsgeschützt.

Sofern Sie dies für eine Fehlfunktion des Servers halten, informieren Sie bitte den Webmaster hierüber.

Error 403

Das müßte doch dann sicher sein?

druwal

Nein, denn wenn jemand den Dateinamen einer in dem Verzeichnis liegenden Datei errät, kann er auf den Inhalt zugreifen. Die Standardmeldung, die Du zitiert hast, wirft der Apache aus, wenn er keine Datei findet, die unter der Option DirectoryIndex angegeben wurde.

Die Erstellung der .htaccess-Datei ist also erste Pflicht.

/tmp zeigt übrigens auf den entsprechenden Ordner im Hauptverzeichnis, und nicht auf Dein FTP-Verzeichnis. Das FTP-Verzeichnis ist für Dich nur deshalb das oberste, da in aller Regel die FTP-Server in einer chroot-Umgebung laufen. Das gilt aber für den Apache-Server in der Regel nicht.

Vielen Dank,
ich habe eine .htaccess angelegt und auch getestet, man kann auf dateien im tmp Verzeichnis nicht mehr zugreifen.
Server ist ein Apache Server mit Suse Linux und Confixx.

In Drupal Verwaltung/Einstellungen/temporäres Verzeichnis habe ich jetzt tmp eingetragen(ohne slash). Das müßte ja dann der tmp Ordner im html Verzeichnis sein? Allerdings sind in diesem tmp Ordner keine Dateien ersichtlich, obwohl ich schon einiges mit meinem Drupal CMS an Inhalten und Feeds etc angelegt habe. Fehlermeldungen
bekomme ich allerdings keine mehr.

Apropos Hauptverzeichnis: das wäre wohl /srv/www/htdocs/web230 ?

druwal

Alle Verzeichnisangaben unter den Einstellungen von Drupal sind relativ zur Datei index.php.

Die Tatsache, dass Du keine Dateien dort findest, sollte Dich nicht kümmern. Temporäre Dateien werden bei einem geordnetem Programmablauf automatisch gelöscht.

Mag sein, aber das ist in diesem Kontext ohne Relevanz.

Es funktioniert in dem du einfach in dem Verzeichnis wo die index.php deiner Drupal Instalation liegt den Ordner tmp anlegst und diesem Rechte chmod 777 gibst.

mfg holger

www.ebec.net | www.stnetwork.de

Das funktioniert bei mir auch.

Ist aber halt laut Hinrich sehr unsicher, noch unsicherer als /tmp!!

druwal

siehe dazu auch auf http://drupal.org/search/node/tmp

Auf Drupal.org wird chmod 700 bzw. 755 empfohlen.
Interessant dazu auch der Beitrag http://drupal.org/node/26386

mfg holger

www.ebec.net | www.stnetwork.de