Universitäts­rechen­zentrum
AFS-Zugriffsrechte

Zugriffsschutz auf Webdokumente im AFS-Dateisystem

Neben dem Zugriffsschutz via Web muss auch an den Zugriffsschutz im Dateisystem gedacht werden.

Der Webspace, d.h. der Speicherplatz für Webdokumente und -Skripte, liegt für die zentralen Webserver der TU Chemnitz im AFS-Dateisystem, einem verteilten, d.h. von vielen Rechnern zugänglichen Dateisystem. Während beim normalen Zugriff auf Dokumente über Webbrowser vom Webserver die via .htaccess eingestellten Zugriffseinschränkungen ausgewertet werden, gelten beim Zugriff über das AFS-Dateisystem ausschließlich die eingestellten AFS-Rechte - siehe Was ist eine ACL?.

Ist z. B. in einem Ordner mit Vorlesungsunterlagen ein Lesezugriff für jedermann erlaubt, darf im AFS-Dateisystem jeder diese Daten lesen, auch wenn der Webzugriff eingeschränkt ist. Da der Webserver immer Leserechte braucht, können prinzipiell alle Webanwendungen auch alle Dateien lesen.

Daher die dringende Empfehlung:
  • Dateien mit sensiblem Inhalt entweder verschlüsseln oder über einen dedizierten Webserver, z.B. auf einem eigenen virtuellen Server zur Verfügung stellen
  • Webanwendungen mit Geheimnissen, z.B. PHP-Skripte mit Datenbank-Passwörtern, über das Verfahren sichere Geheimnisse schützen.

Die AFS-Zugriffsrechte sind wie folgt zu setzen (diese Rechte gelten dann für alle Dateien im Verzeichnis):

Schützenswerte Daten sollten keine Lese-Recht für jedermann haben:
  • "Benutzer" system:anyuser sollte keine Rechte besitzen: z.B. Rechte für aktuelles Verzeichnis wegnehmen:
    • Linux-Kommando: fs setacl . system:anyuser none

Für den zentralen Webserver www.tu-chemnitz.de sind dem "Benutzer" ip:www-server entsprechende Rechte zu gewähren:

  • Lesen und Auflisten erlaubt: ip:www-server rl
  • Dies bedeutet, dass alle Programme auf dem Webserver Lesezugriff haben, auch Skripte von anderen Bereichen. Dies ist also kein sicherer Schutz für sensible Daten.
  • Falls für eine Anwendung Schreibrechte erforderlich sind, lesen Sie Hinweise zu Risiken und Schutzmaßnahmen.

Für den Webserver für Homepages unserer Benutzer/-innen www-user.tu-chemnitz.de sind dem "Benutzer" ip:www-user entsprechende Rechte zu gewähren:

  • Lesen und Auflisten erlaubt: ip:www-user rl
  • Dies bedeutet, dass alle Programme auf dem Webserver Lesezugriff haben, auch Skripte von anderen Benutzern. Dies ist also kein sicherer Schutz für sensible Daten.
  • wenn erforderlich, zusätzlich noch das Schreiben von Dateien erlauben: ip:www-user rlidwk
    Achtung: Jede Anwendung auf dem Server darf dann schreiben!

Einstellen von AFS-Zugriffsrechten

Für das Einstellen von AFS-Zugriffsrechten gibt es mehrere Möglichkeiten:

  • Über den Web-basierten Datei-Manager WFM im Webbrowser: https://login.tu-chemnitz.de/wfm/:
    • In das entsprechende Verzeichnis bewegen
    • Dort unten "AFS-Zugriffsrechte ... -> Details / Ändern", z.B.:
AFS-Zugriffsrechte im WFM
  • Einloggen in ein Linux-System (z.B. login.tu-chemnitz.de), dort Absetzen von entspr. Shell-Kommandos, z.B.
    • fs setacl Verzeichnisname Nutzer Rechte
    • z.B. fs setacl /afs/tu-chemnitz.de/www/root/urz/auth ip:www-server rl
  • Für Windows (im Admin-Dienst des URZ) über den Windows-Dateimanager (Explorer):
    • Ins entsprechende Verzeichnis (Netzlaufwerk) bewegen
    • Dort über rechte Maustaste -> AFS -> Access Control lists...

TUCaktuell