Fórum Root.cz
Hlavní témata => Server => Téma založeno: dotazník 02. 10. 2014, 15:30:36
-
Ahoj, moc prosím o radu, mám CentOS, na něm Apache a documentroot je /var/www/html
vsftpd a pod html různé adresáře pro různé usery.
Apache běží pod apache userem.
Mějme nyní uživatele test, který má virtualhost ve /var/www/html/test
Pokud tento user něco vytvoří na ftp nebo naopak v cms, buď na ftp nebo v cms poté nebude mít dostatečná práva. Jak mám toto prosím řešit?
Moooc děkuji!
-
Ještě upřesním,
mám to správně nastaveno g+s a pokud user vytvoří na ftp nový adresář, tento má vlastníka user:apache, ale problém je, že nemá 755, tato práva neinherituje, takže user apache, i když je ve správné skupině má smůlu. :(
-
Nebezpecna prasarna. FTP zakazat, zrusit, vypnout, odinstalovat. Telnet tam predpokladam nemas?
Pro kazdeho uzivatele zalozit vlastni systemovy ucet, na prenos souboru bude SCP/SFTP a do apache doplnit mod_ruid (http://sourceforge.net/projects/mod-ruid/) nebo jinou alternativu, aby jednotlive virtualhosty "bezely" s pravy uzivatelu, kterym patri.
-
Díky a chystám se na to, ale nyní potřebuji urgentně vyřešit jednoho uživatele a přidělit mu práva, jde to tedy nějak? Co jsem tak četl, spoustě lidí to tak běželo. Vámi navrhované řešení budu aplikovat, ale nevyřeším to nyní do večera. :)
-
Tvuj problem s pravy vyresi linuxove ACL. Pro urcity adresar/soubor muzes urcitemu uzivateli nastavit specialne co potrebujes. Pokud jsem te tedy pochopil dobre :)
http://www.root.cz/clanky/acl-rozsirena-nastaveni-prav-v-linuxu/
http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-pristupova-prava-a-acl
BTW. Souchlasim, ze FTP neni moz bezpecny protokol, osobne bych ho vyvaroval. SFTP!
-
Nejak nevim, jestli je Ti jasny, ze ty uzivatele si muzou navzajem cist soubory?
Jinak co hledas je zrejme file_open_mode a local_umask v konfiguraci vsftpd...
-
No, on ten problem neni jen v tom vsftpd, mohu nastavit local_umask, ale potom bude ten samy problem s vytvorenim apachem. Predstavoval jsem si nejlepe jen aby nove vytvorene slozky dedily napriklad 660. :)
-
Po pravde netusim jak by si mohli vzajemne neco cist pri pristupu pres ftp s nastavenym chroot k nim do adresare a nastavenem /sbin/nologin
Pomohlo by mi dedeni prav na adresarich, nechapu jak se bez nej muze nekdo obejit. :)
:)Nejak nevim, jestli je Ti jasny, ze ty uzivatele si muzou navzajem cist soubory?
Jinak co hledas je zrejme file_open_mode a local_umask v konfiguraci vsftpd...
-
Po pravde netusim jak by si mohli vzajemne neco cist pri pristupu pres ftp s nastavenym chroot k nim do adresare a nastavenem /sbin/nologin
No a co kdyz si uzivatel A nahraje na svoje FTP PHP soubor, kterej bude cist soubory ze slozky uzivatele B? Protoze to pobezi s pravama apache, tak se mu to povede, ne?
-
No, on ten problem neni jen v tom vsftpd, mohu nastavit local_umask, ale potom bude ten samy problem s vytvorenim apachem. Predstavoval jsem si nejlepe jen aby nove vytvorene slozky dedily napriklad 660. :)
Apache samozrejme taky respektuje umask, viz napr. http://stackoverflow.com/questions/16672429/how-to-set-default-permissions-for-new-files-created-with-php
-
To bych povazoval spis za teorii, uzivatel A by musel vedet o existenci uzivatele B. Ale teoreticky mate pravdu. Cely ten system predelam Prakticky superrychle reseni na jeden command asi neexisruje.
Po pravde netusim jak by si mohli vzajemne neco cist pri pristupu pres ftp s nastavenym chroot k nim do adresare a nastavenem /sbin/nologin
No a co kdyz si uzivatel A nahraje na svoje FTP PHP soubor, kterej bude cist soubory ze slozky uzivatele B? Protoze to pobezi s pravama apache, tak se mu to povede, ne?
-
To bych povazoval spis za teorii, uzivatel A by musel vedet o existenci uzivatele B. Ale teoreticky mate pravdu. Cely ten system predelam Prakticky superrychle reseni na jeden command asi neexisruje.
To by prave nemusel - co mu brani v tom zjistit si aktualni fyzickou cestu k souboru a vypsat si adresare o uroven vyse?
Ne to fakt neexistuje, nejbezpecnejsi reseni je vubec se do toho nepoustet naostro (s uzivateli), kdyz tomu nerozumim...