FE: 403 Zugriff verweigert - und komme auch nicht ins Install Tool!

> Liebe Liste,
>
> bei einer Website kriege ich bei allen FE-Seiten - außer der Startseite
> - einen 403-Fehler - Zugriff verweigert.
>
> Ich meine jetzt alle Rechte nochmal überprüft zu haben und sieht alles
> gut aus. Ins BE komme ich noch. Jetzt wollte ich noch mal ins
> Install-tool schauen, um zu gucken, ob ich da einen Fehler habe, falsche
> DB oder so...
>
> Das ist ganz strange - jetzt habe ich die "ENABLE_INSTALL_TOOL"-Datei
> erstellt. Ja, sie ist auch da, nein ich habe mich nicht vertippt.
> Cache geleert. Auf der BE-Startseite kommt auch die Warnung, dass man
> die Datei wieder löschen soll.
> Trotzdem komme ich nicht ins Install Tool, habe immer noch die alte
> Meldung "install tool is locked ...".
>
> Hat jemand eine Idee, ich weiß nicht weiter ...
>
> Herzliche Grüße
> Kerstin
>

> Kerstin Finke schrieb:
>> Liebe Liste,
>>
>> bei einer Website kriege ich bei allen FE-Seiten - außer der
>> Startseite - einen 403-Fehler - Zugriff verweigert.
>>
>> Ich meine jetzt alle Rechte nochmal überprüft zu haben und sieht alles
>> gut aus. Ins BE komme ich noch. Jetzt wollte ich noch mal ins
>> Install-tool schauen, um zu gucken, ob ich da einen Fehler habe,
>> falsche DB oder so...
>>
>> Das ist ganz strange - jetzt habe ich die "ENABLE_INSTALL_TOOL"-Datei
>> erstellt. Ja, sie ist auch da, nein ich habe mich nicht vertippt.
>> Cache geleert. Auf der BE-Startseite kommt auch die Warnung, dass man
>> die Datei wieder löschen soll.
>> Trotzdem komme ich nicht ins Install Tool, habe immer noch die alte
>> Meldung "install tool is locked ...".
>>
>> Hat jemand eine Idee, ich weiß nicht weiter ...
>>
>> Herzliche Grüße
>> Kerstin
>>
>
> OK, Install Tool geht wieder. Kapier ich manchmal nicht, ich hatte alle
> caches geleert, erst nach Browser-Neustart kam ich dann ins Install-Tool.
>
> Aber: Trotz FE-Cache-leeren, Browser-Neustart etc. Die FE-Seiten werden
> immer noch verweigert 403! Im Install-Tool ist alles grün!
>
> Nach wie vor geht nur die direkt aufgerufene Startseite, aber nicht
> sowas: /index.php?id=10
> Hatte keinen rewrite aktiviert oder so, also so sähe der normale
> Seitenaufruf aus!
>
> Irgendwelche Ideen?
>
> Danke im voraus für jeden hinweis
> Kerstin

> Kerstin Finke schrieb:
>> Kerstin Finke schrieb:
>>> Liebe Liste,
>>>
>>> bei einer Website kriege ich bei allen FE-Seiten - außer der
>>> Startseite - einen 403-Fehler - Zugriff verweigert.
>>>
>>> Ich meine jetzt alle Rechte nochmal überprüft zu haben und sieht
>>> alles gut aus. Ins BE komme ich noch. Jetzt wollte ich noch mal ins
>>> Install-tool schauen, um zu gucken, ob ich da einen Fehler habe,
>>> falsche DB oder so...
>>>
>>> Das ist ganz strange - jetzt habe ich die "ENABLE_INSTALL_TOOL"-Datei
>>> erstellt. Ja, sie ist auch da, nein ich habe mich nicht vertippt.
>>> Cache geleert. Auf der BE-Startseite kommt auch die Warnung, dass man
>>> die Datei wieder löschen soll.
>>> Trotzdem komme ich nicht ins Install Tool, habe immer noch die alte
>>> Meldung "install tool is locked ...".
>>>
>>> Hat jemand eine Idee, ich weiß nicht weiter ...
>>>
>>> Herzliche Grüße
>>> Kerstin
>>>
>>
>> OK, Install Tool geht wieder. Kapier ich manchmal nicht, ich hatte
>> alle caches geleert, erst nach Browser-Neustart kam ich dann ins
>> Install-Tool.
>>
>> Aber: Trotz FE-Cache-leeren, Browser-Neustart etc. Die FE-Seiten
>> werden immer noch verweigert 403! Im Install-Tool ist alles grün!
>>
>> Nach wie vor geht nur die direkt aufgerufene Startseite, aber nicht
>> sowas: /index.php?id=10
>> Hatte keinen rewrite aktiviert oder so, also so sähe der normale
>> Seitenaufruf aus!
>>
>> Irgendwelche Ideen?
>>
>> Danke im voraus für jeden hinweis
>> Kerstin
>
> OK. Frontend läuft auch wieder.
> Die Symlink-index.php hatte falsche Rechte. Nach chown ging es,
> (chown -h srcuser.psaserv t3lib/ typo3/ typo3_src/ index.php)
> muss wohl der gleiche Owner sein wie der owner des src, wenn das richtig
> sehe. Muss ich irgendwann versehentlich verstellt haben.
>
> Ich habe schon oft nach einer Liste der optimalen (also nötigen, aber
> möglichst sicheren) Rechte für Typo gesucht. Hat jemand einen Tipp? Das
> wäre super.
>
> Danke
> Kerstin

> Am Wed, 04 Nov 2009 15:06:15 +0100 schrieb Kerstin Finke:
>
>> Die Symlink-index.php hatte falsche Rechte. Nach chown ging es, (chown
>> -h srcuser.psaserv t3lib/ typo3/ typo3_src/ index.php) muss wohl der
>> gleiche Owner sein wie der owner des src, wenn das richtig sehe. Muss
>> ich irgendwann versehentlich verstellt haben.
>>
>> Ich habe schon oft nach einer Liste der optimalen (also nötigen, aber
>> möglichst sicheren) Rechte für Typo gesucht. Hat jemand einen Tipp? Das
>> wäre super.
>
> Grundsätzlich muss der User, unter dem der Webserver (meist apache)
> läuft Zugriff auf alle möglichen Dateien haben um sie einem Besucher
> weiter zu reichen. bei php interpretierend, bei zb. Bildern einfach
> durchreichen. Zusätzlich evtl. noch Scripte und Programme, die aus dem
> PHP heraus aufgerufen werden.
> dazu musst du das Rechtesystem des Betriebssystems berücksichtigen. Unix
> handhabt die Rechte anders als Windows [1].
>
> typisch für unix: der apache hat einen eigenen User, der natürlich die
> Verzeichnisse(!) und Dateien lesen (und modifizieren) können muss, die
> ein User (der Besitzer des Webspaces) angelegt hat. Je nach Zugriffsart
> (SSH, FTP, ...) können das allerdings auch unterschiedliche User sein,
> dann sollten sie zumindest einer gemeinsamen Gruppe angehören (die auch
> die default-Gruppe für diese User ist). Ein User kann zwar mehreren
> Gruppen angehören, eine Datei/Verzeichnis hat aber nur eine
> Gruppenzugehörigkeit, welches die Defaultgruppe des anlegenden Users
> ist.
>
>
> [1] http://de.wikipedia.org/wiki/Unix-Dateirechte
>
> bernd

> Hi Kerstin,
> verwendest du auf der seite RealURL oder CoolURL?
>
> dann würde ich erwarten das mod_rewrite die seiten nicht mehr auf
> index.php umleitet.
> entweder weil die .htaccess datei nicht da ist. oder fehlerhaft.
>
> gruss chris
>
>
> Kerstin Finke schrieb:
>> Kerstin Finke schrieb:
>>> Kerstin Finke schrieb:
>>>> Liebe Liste,
>>>>
>>>> bei einer Website kriege ich bei allen FE-Seiten - außer der
>>>> Startseite - einen 403-Fehler - Zugriff verweigert.
>>>>
>>>> Ich meine jetzt alle Rechte nochmal überprüft zu haben und sieht
>>>> alles gut aus. Ins BE komme ich noch. Jetzt wollte ich noch mal ins
>>>> Install-tool schauen, um zu gucken, ob ich da einen Fehler habe,
>>>> falsche DB oder so...
>>>>
>>>> Das ist ganz strange - jetzt habe ich die "ENABLE_INSTALL_TOOL"-Datei
>>>> erstellt. Ja, sie ist auch da, nein ich habe mich nicht vertippt.
>>>> Cache geleert. Auf der BE-Startseite kommt auch die Warnung, dass man
>>>> die Datei wieder löschen soll.
>>>> Trotzdem komme ich nicht ins Install Tool, habe immer noch die alte
>>>> Meldung "install tool is locked ...".
>>>>
>>>> Hat jemand eine Idee, ich weiß nicht weiter ...
>>>>
>>>> Herzliche Grüße
>>>> Kerstin
>>>>
>>>>
>>> OK, Install Tool geht wieder. Kapier ich manchmal nicht, ich hatte
>>> alle caches geleert, erst nach Browser-Neustart kam ich dann ins
>>> Install-Tool.
>>>
>>> Aber: Trotz FE-Cache-leeren, Browser-Neustart etc. Die FE-Seiten
>>> werden immer noch verweigert 403! Im Install-Tool ist alles grün!
>>>
>>> Nach wie vor geht nur die direkt aufgerufene Startseite, aber nicht
>>> sowas: /index.php?id=10
>>> Hatte keinen rewrite aktiviert oder so, also so sähe der normale
>>> Seitenaufruf aus!
>>>
>>> Irgendwelche Ideen?
>>>
>>> Danke im voraus für jeden hinweis
>>> Kerstin
>>
>> OK. Frontend läuft auch wieder.
>> Die Symlink-index.php hatte falsche Rechte. Nach chown ging es, (chown
>> -h srcuser.psaserv t3lib/ typo3/ typo3_src/ index.php) muss wohl der
>> gleiche Owner sein wie der owner des src, wenn das richtig sehe. Muss
>> ich irgendwann versehentlich verstellt haben.
>>
>> Ich habe schon oft nach einer Liste der optimalen (also nötigen, aber
>> möglichst sicheren) Rechte für Typo gesucht. Hat jemand einen Tipp? Das
>> wäre super.
>>
>> Danke
>> Kerstin

> Voraussetzung:
> Ich möchte mehrere Installationen auf einen Source laufen lassen, wobei
> die einzelnen Installationen per Symlink auf den Src verweisen.
>
> Für den allgemeinen Source gilt:
> - Der Source hat einen eigenen user (z.B. srcuser). - Alle Symlinks der
> Einzelinstallationen haben als Owner srcuser. - Gruppe für alle Verz.
> und Dateien ist der apache (z.B. wwwrun)
>
> Für die Einzelinstallation gilt:
> - Owner für alle Verzeichnisse und Dateien ist z.B. der jeweilige
> ftp-User
> - Aber: Alle Symlinks der Einzelinstallationen haben als Owner srcuser.

> Am Fri, 06 Nov 2009 12:19:10 +0000 schrieb Kerstin Finke:
>
> [...]
>> Voraussetzung:
>> Ich möchte mehrere Installationen auf einen Source laufen lassen, wobei
>> die einzelnen Installationen per Symlink auf den Src verweisen.
>>
>> Für den allgemeinen Source gilt:
>> - Der Source hat einen eigenen user (z.B. srcuser). - Alle Symlinks der
>> Einzelinstallationen haben als Owner srcuser. - Gruppe für alle Verz.
>> und Dateien ist der apache (z.B. wwwrun)
>>
>> Für die Einzelinstallation gilt:
>> - Owner für alle Verzeichnisse und Dateien ist z.B. der jeweilige
>> ftp-User
>> - Aber: Alle Symlinks der Einzelinstallationen haben als Owner srcuser.
>
> so weit ich weiß sind die owner der links nebensächlich, entscheidend ist
> wer owner des verlinkten Objektes ist.

>
>> - Gruppe für alle Verz. und Dateien ist der apache (z.B. wwwrun)
>>
>> Verzeichnisse grundsätzlich auf 755
>> Dateien grundsätzlich auf 644
>> Manche Verzeichnisse brauchen 775 (was im Install-Tool abgeprüft wird)
>>
>> Könnte das so hinhauen?
>
> vermutlich nicht.
> fast alle Dateien unter fileadmin werden vom FTP-user, als auch über das
> BE vom apache-user (wwwrun) bearbeitet, daher muss es zumindest in dem
> Bereich wohl eher 775 bzw. 664 sein. diese Werte sollten daher wohl als
> default-Wert (auch im install-tool) eingetragen sein. Problematisch
> könnte es zwischen den verschiedenen ftp-usern werden, die sich wohl
> nicht gegenseitig ins handwerk pfuschen sollten, das mit diesen Rechten
> aber evtl. könnten. (zur Not auch über handgefertigte php-Skripte)
>
> bernd