Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)
-   -   права на веб-сервере (http://forum.oszone.net/showthread.php?t=164870)

Surround 27-01-2010 17:05 1331516
права на веб-сервере
 
Устанавливаю веб-сервер на апаче, и тут возник вопрос. Права доступа на /srv/www и все сопутствующие сайты 755, владелец - мой user. Если, например, делать ftp или ssh доступ для пользователей, каждый из который админит свой сайт, получается неудобство с правами - приходится каждому давать права на его конкретную директорию. Однако я сижу не из под рута, а из-под user. Иногда приходится вносить правки в содержимое каталогов, так что приходится ломиться от рута.
Скажите, как грамотно стоит организовать права доступа в данном случае?
Или, например, хранить учетные записи ftp в БД mysql, они будут виртуальными пользователями, а реальный - будет только один. Стоит ли туда смотреть?

vadblm 27-01-2010 17:17 1331524
Общая группа, например www и права 775. А чтобы друг к дружке не лазали, chroot'ить.

Surround 27-01-2010 17:29 1331537
Цитата:
Цитата vadblm
А чтобы друг к дружке не лазали, chroot'ить. »
можно подробнее, как это организовать?

vadblm 27-01-2010 17:45 1331550
Смотря как вы доступ организуете. FTP - зависит от того, какой ftpd используете. В разных по-разному. SSH - закрыть доступ к собственно шеллу, оставив лишь возможность SFTP/SCP (шелл scponly, директива sshd_config ChrootDirectory и тп и тд)

Surround 27-01-2010 23:11 1331790
FTP исползуется vsftpd.
и можно ссылочку про SFTP/SCP?

vadblm 27-01-2010 23:31 1331809
Цитата:
Цитата Surround
FTP исползуется vsftpd. »
chroot_local_user=YES в vsftpd.conf
Цитата:
Цитата Surround
и можно ссылочку про SFTP/SCP? »
man sshd_config
OpenSUSE OpenSSH SFTP chroot

Surround 27-01-2010 23:44 1331817
chroot_local_user=YES означает запирание в домашней директории? А как правильно указать пользователю на то, чтобы его домашней директорией была директория сайта? создать символическую ссылку в /home?

vadblm 27-01-2010 23:45 1331819
Цитата:
Цитата Surround
создать символическую ссылку в /home? »
можно и так.

Surround 27-01-2010 23:47 1331822
просто не хочется указывать при useradd директорию /srv/www/site, потому что там начинает "мусорить" - добавляются всяческие "лишние" служебные файлы домашней папки.
вообще, реально избежать этого "замусоривания", если фтп все равно должна быть в домашней папке пользователя?
или как-то можно указать ему другою папку входа и запереть его в ней?

vadblm 28-01-2010 00:24 1331834
Ну например можно сделать симлинки вида /srv/www/site -> /home/user/www и сказать юзеру, что его сайт в /www, а в корне (с его точки зрения конешно, ведь мы его чрутнули) пусть мусорит как хочет. Да и "служебные файлы", которые вообще-то всего лишь конфиги юзерские, можно и удалять - всё равно шелла у него нет и они ему ни к чему.

Surround 28-01-2010 00:33 1331839
Цитата:
Цитата vadblm
всё равно шелла у него нет и они ему ни к чему »
я рассматриваю перспективу, если предоставлять еще и его придется

vadblm 28-01-2010 00:47 1331849
Цитата:
Цитата Surround
я рассматриваю перспективу, если предоставлять еще и его придется »
Обойдётся. Ибо SFTP chroot и шелл - две вещи несовместные. Ну вообщето можно сделать копии/симлинки /bin /usr/bin и прочего в чруте (без них у него и сам собственно шелл не запустится, гг), но это не комильфо. Так что либо без чрута и позволять кому попало как угодно шариться по системе, либо никакого шелла. Либо строить полноценную виртуализацию со всеми вытекающими по нагрузке и объёму - но за VDS и прайс совсем другой ;)


Время: 16:50.

Время: 16:50.
© OSzone.net 2001-