Práva uživatelů na adresáře s webem

Práva uživatelů na adresáře s webem
« kdy: 24. 02. 2012, 09:03:10 »
Zdravim, resim nasledujici situaci:

Apache server s nekolika VirtualHosty, kazdy ma svuj podadresar ve /var/www a jde o to kazdy realny user na tom serveru by mel mit pravo si mazat a vytvaret soubory a adresar ve svem /var/www/users_web_pages a zaroven aby to stene mohl delat i priadny CMS (Drupal, Wordpress apod) ktery na tom pobezi.

V tomto pripadne tedy resim jak ma byt spravne nastaveno ownership aby to cele fungovalo a dodrzovalo safety rules jakoze nemuze jeden uzivatel menit nic druhemu. Zaroven uzivatel muze pres svuj CMS vytvare adresare a nahravat soubory apod.

Diky
« Poslední změna: 24. 02. 2012, 11:02:30 od Petr Krčmář »


Re:Práva uživatelů na adresáře s webem
« Odpověď #1 kdy: 24. 02. 2012, 11:04:31 »
To se dá řešit velmi jednoduše přes uživatele a skupiny. Uživatel dostane právo zápisu a stejně tak nějaká univerzální skupina „drupal“ třeba. Do té skupiny se dá uživatel, pod kterým se ten Drupal bude spouštět a je to. Takže oba budou spokojení a nikdo cizí se tam nedostane. Práva pak budou vypadat takhle:

Kód: [Vybrat]
drwxrwx--- franta drupal lis 27 21:26 muj_blog

neron

Re:Práva uživatelů na adresáře s webem
« Odpověď #2 kdy: 24. 02. 2012, 11:04:56 »
treba pomoci apache2-mpm-itk, apache pak bezi primo pod konkretnim uzivatelem

Re:Práva uživatelů na adresáře s webem
« Odpověď #3 kdy: 24. 02. 2012, 16:01:11 »
souhlas s neronem navic je to rychlejsi a bezp. varianta nez suphp reseni
kazdy virtualhost pobezi pod vlastnim systemovym uzivatelem  web01, web02
apache samotny (/var/www - default vhost a default-ss vhost) nejspis pod apache anebo www-data - netusim jak to mas nastavene

akorat pod centosem budes mit asi trochu problem s tim mpm-itk - pro CentOS 6.x to podle me zatim vubec neexistuje a pod 5.7 sem to taky vzdal po par minutach googlovani    :o

http://www.howtoforge.com/running-vhosts-under-separate-uids-gids-with-apache2-mpm-itk-on-debian-etch

branchman2

Re:Práva uživatelů na adresáře s webem
« Odpověď #4 kdy: 25. 02. 2012, 16:03:01 »
To se dá řešit velmi jednoduše přes uživatele a skupiny. Uživatel dostane právo zápisu a stejně tak nějaká univerzální skupina „drupal“ třeba. Do té skupiny se dá uživatel, pod kterým se ten Drupal bude spouštět a je to. Takže oba budou spokojení a nikdo cizí se tam nedostane. Práva pak budou vypadat takhle:

Kód: [Vybrat]
drwxrwx--- franta drupal lis 27 21:26 muj_blog
Takto to nefunguje, lebo ak sa php bude spustat so skupinou drupal, tak to stale nechrani pred zaskodnikom z webu vedla (na tom istom stroji), ktory bude mat tiez skupinu drupal. Ten si v takom pripade moze kludne precitat config, v ktorom je mysql heslo a ked je nastavene g+w, tak si tam moze v pripade potreby aj zapisat, co bude chciet.
Mame open_basedir, ale spoliehat sa na featuru PHP podla mna nestaci, preto som tiez za mpm-itk.


Lupex

Re:Práva uživatelů na adresáře s webem
« Odpověď #5 kdy: 25. 02. 2012, 17:50:10 »
buď použít modu mpm-itk jak už bylo řečeno, nebo izolovat pomocí fastcggi + suexec ( trochu náročnější konfigurace)