Hi,
ich habe auf einem kleinen Linux-vServer mit dem Unified Installer (gemäß http://plone.org/documentation/…ified-installer) ein Plone-System aufgesetzt.
Dabei wird ein Benutzer "plone" angelegt. Wie soll Plone denn nun gestartet werden? Sollte ich dafür mit dem Benutzer "plone" einloggen? Oder wird "plonectl start" als root ausgeführt?
Vielen Dank und Gruß!
es ist prinzipiell egal als welcher Nutzer du dein Plone startest. Zope selber will keine priviligierten Rechte des Root-User und wird wenn es als Root gestartet wird, den Start an den nicht priviligierten Nutzer "plone" delegieren, der dann Zope mit Plone Startet.
Wenn du es al normaler Benutzer startest wird Plone in deinem Nutzerraum starten. Aber vorsicht, die unix File-Rechte sollten für den Nutzer der Plone Starten will gestattet sein.
Gruss Pumukel
Zunächst einmal Danke für die Antwort!
Hier die gekürzte Ausgabe von ps. Zuerst wird der Benutzer, dann der Prozess genannt:
------------
root:
/usr/local/Plone/Python-2.4/bin/python /usr/local/Plone/Zope-2.10.7-final-py2.4/lib/python/zdaemon/zdrun.py -S /usr/local/Plone/Zope-2.10.7-final-py2.4/lib/python/Zope2/Startup/zopeschema.xml -b 10 -d -s /usr/local/Plone/zinstance/var/instance/zopectlsock -x 0,2 -z /usr/local/Plone/zinstance/parts/instance /usr/local/Plone/zinstance/parts/instance/bin/runzope
plone:
/usr/local/Plone/Python-2.4/bin/python /usr/local/Plone/Zope-2.10.7-final-py2.4/lib/python/Zope2/Startup/run.py -C /usr/local/Plone/zinstance/parts/instance/etc/zope.conf
-----------
Gestartet wurde "plonectl start" als root. Wenn ich es richtig sehe läuft Zope bzw ein Zope daemon mit root-Rechten und Plone wurde mit dem Benutzer "plone" gestartet.
Natürlich möchte ich so wenige Prozesse wie möglich als root laufen lassen. Ich habe jedoch in der Plone Docu. bisher keine expliziten Hinweise zu dem "Problem" gefunden. Mit dem user "plone" kann ich nicht einloggen, da ich das Passwort nicht habe. Zwar könnte ich dieses als root ändern, habe aber Sorge, dass dies die Plone-Installation durcheinander bringt.
Also die abschließende Frage: Ist die geschilderte Situation mit Prozessen und Usern so in Ordnung oder gibt es da unnötige Sicherheitsrisiken?
Hallo,
Du wirfst leider mehrere Sachen durcheinander. Zope/Plone ist ein wenig komplex und deswegen ist es am anfang leicht verwirrend.
Man muss unterscheiden zwischen:
Administartion von Zope/Plone im Betriebssystem
Administartion von Objekten in Zope, Plone ist ein solches Objekt und
Nutzung des Unified Installers von Plone.
fangen wir bei der Betriebsystemsebene an:
Zope selber ist mit umfangreichen Sicherheitsmechanismen ausgestattet und in der Regel sehr sicher konfiguriert out of the Box. Ein Zope-Frontend selber sollte sich auch nicht als Root starten lassen. Wenn man Zope Manuell installiert warnt er auch davor, wenn man es versucht. Aber das ist eine Sache des Unified Installers.
deswegen weiter beim Unified Installer:
Das ist ein Paket der es Anfängern in Linux, Windows, oder MacOS erleichtern soll Plone auszuprobieren. Ein der XAMPP Installer vergleichbares Werkzeug. Ich persönlich halte nicht viel davon, weil man selber nicht wirklich weiss was dadrin abläuft, und für Leute die auch von OS Seite alles kontrollieren wollen ist das auch nicht gerade das was man sich wünscht. Für reines ausprobieren von Anfängern OK.
Der Unified Installer installiert Zope/Plone in einer sogenannten ZEO Konfiguration. Das heisst, man hat ein ZEO-Server (Zope-ZODB)-Backend-Server und einen ZEO-Client Frontend-Server. Das was man aus dem Netz ansprechen kann ist das Frontend, das muss sicher sein und sollte nie als root laufen. Der Backend ist eigentlich egal, mit welchen Rechten der läuft.
Soweit zu den Daten aus dem OS hin zum Zope Management Interface:
Wenn man Zope/Plone Benutzt trennt sich hier die Nutzerverwaltung vom OS. Die Linux Nutzer sind nicht die Zope Nutzer. Der Unified installer sollte dich normalerweise nach einem Nutzer und dem Password gefragt haben, ansonsten stehts in der Anleitung wenn es default gesetzt ist, z.B. admin admin
ansonsten kann man mit zopectl adduser einen neuen Admin Nutzer anlegen.
Wenn du mehr Kontrolle haben willst solltest du mal Buildout und virtuelenv ansehen.
Gruss Pumukel
PS: bei Fragen melde dich wieder
Hi,
ich habe auf einem kleinen Linux-vServer mit dem Unified Installer (gemäß http://plone.org/documentation/…ified-installer) ein Plone-System aufgesetzt.
Dabei wird ein Benutzer "plone" angelegt. Wie soll Plone denn nun gestartet werden? Sollte ich dafür mit dem Benutzer "plone" einloggen? Oder wird "plonectl start" als root ausgeführt?
Vielen Dank und Gruß!
Es gibt keinen trifftigen Grund als 'root' zu installieren oder zu starten.
Plone kann auf jedem System unter einen nicht-priviligierten Account installiert und gestartet werden. Wenn man es darum geht Port 80 zu verwenden, so verwendet man generell einen Reverse-Proxy.
