Technologie

Wie löse ich das Problem "Permission denied" bei Zugriff auf Dateien im LAMP Stack?

Melden
  1. Ursache des Problems
  2. Verstehen der Benutzer und Gruppen im Linux-Dateisystem
  3. Überprüfung der aktuellen Berechtigungen
  4. Setzen der richtigen Besitzrechte
  5. Anpassen der Zugriffsrechte
  6. Berücksichtigung von SELinux oder AppArmor
  7. Fehlersuche und Prüfung
  8. Zusammenfassung

Ursache des Problems

Wenn im LAMP-Stack (Linux, Apache, MySQL, PHP) beim Zugriff auf Dateien oder Verzeichnisse die Meldung "Permission denied" erscheint, liegt das meist an fehlenden oder falschen Berechtigungen im Dateisystem. Dies bedeutet, dass der Webserver-Prozess, der üblicherweise unter einem bestimmten Benutzer (z.B. www-data oder apache) läuft, keine ausreichenden Rechte besitzt, um die betreffenden Dateien zu lesen oder auszuführen. Die Ursache kann sowohl bei den Besitzrechten der Dateien als auch bei den Linux-Dateisystem-Berechtigungen liegen. Auch fehlerhafte SELinux- oder AppArmor-Einstellungen sind mögliche Ursachen. Ein typisches Szenario entsteht, wenn Dateien oder Verzeichnisse durch einen anderen Benutzer erzeugt wurden, der Webserver-Benutzer jedoch keinen Zugriff hat.

Verstehen der Benutzer und Gruppen im Linux-Dateisystem

Im Linux-Dateisystem werden Zugriffsrechte anhand von drei Kategorien vergeben: Besitzer (User), Gruppe und Andere (Others). Jede Datei und jedes Verzeichnis hat einen Besitzer und eine Gruppe, denen jeweils Zugriffsrechte wie Lesen (r), Schreiben (w) und Ausführen (x) zugeordnet sind. Der Webserver-Prozess läuft unter einem bestimmten Benutzer, der Mitglied bestimmter Gruppen ist. Wenn der Webserver beispielsweise als "www-data" läuft, müssen die betreffenden Dateien für diesen Benutzer oder seine Gruppe die notwendigen Rechte besitzen, damit er darauf zugreifen kann.

Überprüfung der aktuellen Berechtigungen

Zuerst sollten Sie die Besitzer und Rechte der betroffenen Dateien und Verzeichnisse überprüfen. Dies gelingt mit dem Befehl ls -l /pfad/zur/datei. Hier sehen Sie, welcher Benutzer und welche Gruppe gesetzt sind, sowie die Rechte für User, Gruppe und Andere. Außerdem kann der Webserver-Benutzer mit ps aux | grep apache oder ps aux | grep httpd ermittelt werden, um festzustellen, unter welchem Benutzer der Prozess läuft.

Setzen der richtigen Besitzrechte

Um sicherzustellen, dass der Webserver-Benutzer Zugriff auf die Dateien hat, kann der Besitzer oder die Gruppe geändert werden. Typischerweise wird die Gruppe auf die Webserver-Gruppe gesetzt, z.B. mit chown -R user:www-data /pfad/zum/verzeichnis. Dabei bleibt der Besitzer bestehen (user), die Gruppe wird aber auf www-data geändert. Alternativ kann auch der Besitzer selber auf www-data gesetzt werden. Wichtig ist, dass der Webserver-Benutzer Mitglied der Gruppe ist, die Zugriff bekommt.

Anpassen der Zugriffsrechte

Die Zugriffsrechte sollten selbst so gesetzt sein, dass die Gruppe (bzw. der Benutzer) mindestens Leserechte besitzt, um Dateien lesen zu können. Für Verzeichnisse sind zudem Ausführungsrechte nötig, damit sie betreten werden können. Klassisch verwendet man z.B. chmod -R 750 /pfad/zum/verzeichnis, was bedeutet: Besitzer hat Lesen, Schreiben, Ausführen, Gruppe Lesen und Ausführen, Andere gar keinen Zugriff. Je nach Anforderung kann man auch 755 verwenden, wobei Andere ebenfalls Leserechte erhalten. Wichtig ist, keine zu offenen Rechte zu vergeben, um Sicherheitsprobleme zu vermeiden.

Berücksichtigung von SELinux oder AppArmor

Bei Systemen mit SELinux (Security-Enhanced Linux) oder AppArmor kann es zusätzlich zu Dateisystemrechten noch erweiterte Zugriffskontrollen geben, die ebenfalls "Permission denied" verursachen. Hier müssen die entsprechenden Sicherheitskontexte überprüft und angepasst werden. Mit dem Befehl ls -Z /pfad/zur/datei sieht man den SELinux-Kontext. Falls notwendig, können Sie den Kontext mit chcon passend anpassen oder mit setsebool benötigte Berechtigungen vergeben. Bei AppArmor müssen Sie die Profile anpassen oder den Modus ändern.

Fehlersuche und Prüfung

Nach den Anpassungen sollte der Webserver-Service neu gestartet werden, z.B. mit sudo systemctl restart apache2 oder sudo systemctl restart httpd. Danach sollte der Zugriff erneut getestet werden. Falls weiterhin "Permission denied" erscheint, helfen Systemlogdateien wie /var/log/apache2/error.log oder /var/log/httpd/error_log bei der Diagnose. Auch das Prüfen mit sudo -u www-data cat /pfad/zur/datei kann zeigen, ob der Webserver-Benutzer die Datei lesen kann.

Zusammenfassung

Das "Permission denied"-Problem entsteht durch fehlende oder falsche Zugriffsrechte für den Webserver-Benutzer auf Dateien oder Verzeichnisse im LAMP-Stack. Die Rechte und Besitzverhältnisse sollten so angepasst werden, dass der Webserver-Benutzer zumindest Leserechte auf benötigte Dateien und Ausführungsrechte auf Verzeichnisse besitzt. Dabei muss auch die Gruppenmitgliedschaft stimmen. Zusätzlich sind Sicherheitsmechanismen wie SELinux oder AppArmor zu beachten. Mit den beschriebenen Schritten lassen sich die Berechtigungen kontrollieren und anpassen, sodass der Zugriff ohne Fehler möglich ist.

0

Kommentare