LINUX.ORG.RU
ФорумAdmin

Концептуальный вопрос по правам на файлы веб проектов

 


1

3

Многоуважаемый all,

а как вы решаете вопрос с правами на файлы и директории веб проектов, скажем у нас есть

www-data и веб сервер работающий под этим пользователем, файлы лежит в /home/www-data/

dev человек-девелопер, подключающийся по ssh, scp но он должен быть ограничен директорией www-data, то есть не выходить выше, сам имеет /home/dev/ в качестве домашней.

backup юзер-робот, из под которого запускаются всякие служебные скрипты, которые должны иметь право на чтение /home/www-data/

как бы вы выставили права, чтобы каждый имел только минимально необходимые возможности?


Либо добавить пользователя в группу www-data, лабо расставить, кто что может, при помощи POSIX ACL.

AITap ★★★★★
()
Ответ на: комментарий от AITap

в том-то и дело, что хочется чтобы всё было по феншую, и в группе www-data был только веб сервер :)

Den0k
() автор топика
Ответ на: комментарий от AITap

POSIX ACL

вроде то, что надо, но как-то не нативно... или оно стабильно, но просто не популярно?

Den0k
() автор топика
Ответ на: комментарий от andrew667

ну вообще Debian при том, что в первую очередь буду тестировать на нём, а думать, это пуска аналитики с ЛОРа думают :) Я лучше денег заработаю :)

Den0k
() автор топика
Ответ на: комментарий от Den0k

в первую очередь буду тестировать на нём, а думать, это пуска аналитики с ЛОРа думают

ога

No manual entry for acl

а еще кто-то в голову ест

andrew667 ★★★★★
()
Ответ на: комментарий от AITap

А погуглить?

не все могут думать - ТС это явно сказал

andrew667 ★★★★★
()
Ответ на: комментарий от AITap

да не вопрос :) (хе-хе, сам часто на эту ссылку отправляю людей)

я в том смысле что по дефолту не стоит, инфу про ACL уже нагугли л и читаю. Спасибо.

Den0k
() автор топика
Последнее исправление: Den0k (всего исправлений: 1)
Ответ на: комментарий от AITap

Вообще на серверах с веб проектами часто ставят эти ACL?

Ощущение что мало кто знает и юзает, но мою задачу решает на Ура.

Скажем, хостеры это используют?

Den0k
() автор топика
Ответ на: комментарий от andrew667

ты ещё и юмор не понимаешь?
думаю такого хостера и послать не успеешь :) его хакнут быстрее :)

Den0k
() автор топика
Ответ на: комментарий от xtraeft

в общем кроме acl и юникс-прав ничего и не нужно,

хотел только узнать наскольк acl распространены, гугление создало впечатление что это редко используемая фича, это связанно с неосиляторством массами или непригодностью для продакшена?

Den0k
() автор топика
Ответ на: комментарий от Den0k

кажется я понял почему мало кто их юзает..

While the basic command line utilities (such as cp and mv) support ACLs already, in general, application support for ACLs is very limited. For example, I know of no desktop file managers that support the editing of ACLs, and many editors alter ACLs unexpectedly when saving files. Therefore, if you choose to use ACLs, test them carefully and thoroughly before rolling them into a production environment.

- жаль...

Den0k
() автор топика
Последнее исправление: Den0k (всего исправлений: 1)
Ответ на: комментарий от Den0k

ты ещё и юмор не понимаешь?

Если бы юмор. То, что у тебя стоят права куда-то 777 вовсе не значит, что тебя туда пустит apparmor/selinux.

andrew667 ★★★★★
()
Ответ на: комментарий от Den0k

стандартный tar не умеет сохранять acl права

Стандартные утилиты в разных дистрибутивах стандарты по-разному. в rhel они более функциональны, хотя на первый взгляд вроде такие как например в deb

andrew667 ★★★★★
()
Ответ на: комментарий от andrew667

Сейчас под рукой только RHEL 5.8 и 6.5. Вечером дома сравню с Дебианом. Это же не дело :)

das_tier ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.