Updatesicher FollowSymlinks deaktivieren

[Tobi]

Ich würde auch gern verzichten.

Ist es wirklich so, dass bereits das Update ungefragt die Anpassungen vornimmt?

[Alexander]

Symlinks funktionieren mit SymLinksIfOwnerMatch genauso wie mit FollowSymLinks nur müssen bei ersterem der Besitzer der verlinkten Datei zum Besitzer des Symlinks passen.
Die Verwendung von FollowSymLinks allein stellt ein erhebliches Sicherheitsrisiko dar und sollte nach Möglichkeit vermieden werden.

Zitat KeyHelp Update:

Wenn Sie 'FollowSymLinks' unbedingt benötigen, können Sie die Option 'AllowOverride All' in den Domain-Einstellungen unter der Registerkarte 'Apache-Einstellungen' setzen.

Die Einstellung dort muss lauten:

Code: Select all

<Directory /home/users/<USERNAME>/www>
AllowOverride All
</Directory>

Anschließend kann in .htaccess Dateien auch wieder "FollowSymLinks" stehen.

[FoinB]

Das funktioniert aber nicht wenn der Ordner WWW schon ein Symlink ist...

[Alexander]

Das funktioniert aber nicht wenn der Ordner WWW schon ein Symlink ist...

Darf man fragen, warum man so etwas macht?
(Hab es gerade einmal bei einem leeren Nutzer nachgestellt, geht sogar ohne weitere Anpassungen)


Wie sieht die Verzeichnisstruktur aus?
Wie lautet die Fehlermeldung?
Wie sieht die .htaccess aus?

[FoinB]

Es geht in diesem Fall um den Public Ordner von einige Mastodon Instanzen.

Der Ordner liegt unter folgenden Default Pfad: /home/mastodon/live/public
Ist jetzt gerade leider schwer zu verschieben...

Die Domain zeigt auf: /home/users/USER/www/tools/mastodon/public/
Vor dem Update haben wir das immer per ln gelöst - was ja jetzt nicht mehr möglich ist.

Fehlermeldung:
[Thu Jun 09 10:20:23.375093 2022] [core:error] [pid 20867:tid 140451091584768] [client 178.201.56.83:35620] AH00037: Symbolic link not allowed or link target not accessible: /home/users/USER/www/tools/mastodon/public

.htaccess:

Code: Select all

DirectoryIndex disabled
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI}  ^/api/v1/streaming    [NC]
RewriteRule .* ws://localhost:4000%{REQUEST_URI}  [proxy]
RequestHeader set X-Forwarded-Proto "https"
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-l
RewriteRule .* http://localhost:3000%{REQUEST_URI} [proxy]
RequestHeader set X-Forwarded-Proto "https"
Options +FollowSymLinks

Apache für den Host:
HTTPS

Code: Select all

<Directory /home/users/USER/www/tools/mastodon/public>
AllowOverride All
</Directory>

ErrorLog /var/log/apache2/mastodon.error.log

<IfModule mod_proxy.c>
        ProxyPass /.well-known/acme-challenge !
</IfModule>

Alias /.well-known/acme-challenge /home/keyhelp/www/.well-known/acme-challenge

ProxyPreserveHost On
RequestHeader set X-Forwarded-Proto "https"

ProxyPass /500.html !
ProxyPass /sw.js !
ProxyPass /robots.txt !
ProxyPass /manifest.json !
ProxyPass /browserconfig.xml !
ProxyPass /mask-icon.svg !
ProxyPassMatch ^(/.*\.(png|ico)$) !
ProxyPassMatch ^/(assets|avatars|emoji|headers|packs|sounds|system|.well-known/acme-challenge) !

ProxyPass /api/v1/streaming/ ws://localhost:4000/
ProxyPassReverse /api/v1/streaming/ ws://localhost:4000/
ProxyPass / http://localhost:3000/
ProxyPassReverse / http://localhost:3000/

ErrorDocument 500 /500.html
ErrorDocument 501 /500.html
ErrorDocument 502 /500.html
ErrorDocument 503 /500.html
ErrorDocument 504 /500.html

[Alexander]

Ich dachte der www Ordner sei ein Symlink?

Was wäre denn wenn du FollowSymLinks durch SymLinksIfOwnerMatch austauscht und die Dateiberechtigungen von Link und /home/mastrodon entsprechend dem korrekten Benutzer zuweist so das es, wie der Befehl bereits sagt "matched".

[FoinB]

Bei einer anderen Domain liegt es auch direkt im WWW Verzeichnis.
Die Berechtigungen kann ich nicht ändern da der User "mastodon" selber in den Public Ordner schreiben muss (Verschiedene Ruby Scripte im Hintergrund)

Beim ersten Test war FollowSymLinks noch nicht aktiv. Nach "aktivieren" kommt folgender Fehler:

Code: Select all

[Thu Jun 09 13:59:25.592324 2022] [core:alert] [pid 39584:tid 140451091584768] [client 178.201.56.83:36910] /home/users/USER/www/tools/mastodon/public/.htaccess: Option FollowSymLinks not allowed here

Nachdem ich FollowSymLinks durch SymLinksIfOwnerMatch getauscht habe scheint es zu funktionieren / Trotz anderer Berechtigungen - läuft zwar noch nicht ganz Rund aber das kann an den Ruby Scripten liegen

Danke