Устанавливаю веб-сервер на апаче, и тут возник вопрос. Права доступа на /srv/www и все сопутствующие сайты 755, владелец - мой user. Если, например, делать ftp или ssh доступ для пользователей, каждый из который админит свой сайт, получается неудобство с правами - приходится каждому давать права на его конкретную директорию. Однако я сижу не из под рута, а из-под user. Иногда приходится вносить правки в содержимое каталогов, так что приходится ломиться от рута.
Скажите, как грамотно стоит организовать права доступа в данном случае?
Или, например, хранить учетные записи ftp в БД mysql, они будут виртуальными пользователями, а реальный - будет только один. Стоит ли туда смотреть?

Общая группа, например www и права 775. А чтобы друг к дружке не лазали, chroot'ить.

А чтобы друг к дружке не лазали, chroot'ить. »
можно подробнее, как это организовать?

Смотря как вы доступ организуете. FTP - зависит от того, какой ftpd используете. В разных по-разному. SSH - закрыть доступ к собственно шеллу, оставив лишь возможность SFTP/SCP (шелл scponly, директива sshd_config ChrootDirectory и тп и тд)

FTP исползуется vsftpd.
и можно ссылочку про SFTP/SCP?

FTP исползуется vsftpd. »
chroot_local_user=YES в vsftpd.confи можно ссылочку про SFTP/SCP? »
man sshd_config
OpenSUSE OpenSSH SFTP chroot (http://en.opensuse.org/OpenSSH#SFTP_chroot_with_ChrootDirectory)

chroot_local_user=YES означает запирание в домашней директории? А как правильно указать пользователю на то, чтобы его домашней директорией была директория сайта? создать символическую ссылку в /home?

создать символическую ссылку в /home? »
можно и так.

просто не хочется указывать при useradd директорию /srv/www/site, потому что там начинает "мусорить" - добавляются всяческие "лишние" служебные файлы домашней папки.
вообще, реально избежать этого "замусоривания", если фтп все равно должна быть в домашней папке пользователя?
или как-то можно указать ему другою папку входа и запереть его в ней?

Ну например можно сделать симлинки вида /srv/www/site -> /home/user/www и сказать юзеру, что его сайт в /www, а в корне (с его точки зрения конешно, ведь мы его чрутнули) пусть мусорит как хочет. Да и "служебные файлы", которые вообще-то всего лишь конфиги юзерские, можно и удалять - всё равно шелла у него нет и они ему ни к чему.

всё равно шелла у него нет и они ему ни к чему »
я рассматриваю перспективу, если предоставлять еще и его придется

я рассматриваю перспективу, если предоставлять еще и его придется »
Обойдётся. Ибо SFTP chroot и шелл - две вещи несовместные. Ну вообщето можно сделать копии/симлинки /bin /usr/bin и прочего в чруте (без них у него и сам собственно шелл не запустится, гг), но это не комильфо. Так что либо без чрута и позволять кому попало как угодно шариться по системе, либо никакого шелла. Либо строить полноценную виртуализацию со всеми вытекающими по нагрузке и объёму - но за VDS и прайс совсем другой ;)