Práva uživatelů na adresáře s webem

[Tomáš Cigánek]

Zdravim, resim nasledujici situaci:

Apache server s nekolika VirtualHosty, kazdy ma svuj podadresar ve /var/www a jde o to kazdy realny user na tom serveru by mel mit pravo si mazat a vytvaret soubory a adresar ve svem /var/www/users_web_pages a zaroven aby to stene mohl delat i priadny CMS (Drupal, Wordpress apod) ktery na tom pobezi.

V tomto pripadne tedy resim jak ma byt spravne nastaveno ownership aby to cele fungovalo a dodrzovalo safety rules jakoze nemuze jeden uzivatel menit nic druhemu. Zaroven uzivatel muze pres svuj CMS vytvare adresare a nahravat soubory apod.

Diky

[Reklama]

[Petr Krčmář]

To se dá řešit velmi jednoduše přes uživatele a skupiny. Uživatel dostane právo zápisu a stejně tak nějaká univerzální skupina „drupal“ třeba. Do té skupiny se dá uživatel, pod kterým se ten Drupal bude spouštět a je to. Takže oba budou spokojení a nikdo cizí se tam nedostane. Práva pak budou vypadat takhle:

Kód: [Vybrat]

drwxrwx--- franta drupal lis 27 21:26 muj_blog

[neron]

treba pomoci apache2-mpm-itk, apache pak bezi primo pod konkretnim uzivatelem

[davidb]

souhlas s neronem navic je to rychlejsi a bezp. varianta nez suphp reseni
kazdy virtualhost pobezi pod vlastnim systemovym uzivatelem  web01, web02
apache samotny (/var/www - default vhost a default-ss vhost) nejspis pod apache anebo www-data - netusim jak to mas nastavene

akorat pod centosem budes mit asi trochu problem s tim mpm-itk - pro CentOS 6.x to podle me zatim vubec neexistuje a pod 5.7 sem to taky vzdal po par minutach googlovani   

http://www.howtoforge.com/running-vhosts-under-separate-uids-gids-with-apache2-mpm-itk-on-debian-etch

[branchman2]

To se dá řešit velmi jednoduše přes uživatele a skupiny. Uživatel dostane právo zápisu a stejně tak nějaká univerzální skupina „drupal“ třeba. Do té skupiny se dá uživatel, pod kterým se ten Drupal bude spouštět a je to. Takže oba budou spokojení a nikdo cizí se tam nedostane. Práva pak budou vypadat takhle:

Kód: [Vybrat]

drwxrwx--- franta drupal lis 27 21:26 muj_blog

Takto to nefunguje, lebo ak sa php bude spustat so skupinou drupal, tak to stale nechrani pred zaskodnikom z webu vedla (na tom istom stroji), ktory bude mat tiez skupinu drupal. Ten si v takom pripade moze kludne precitat config, v ktorom je mysql heslo a ked je nastavene g+w, tak si tam moze v pripade potreby aj zapisat, co bude chciet.
Mame open_basedir, ale spoliehat sa na featuru PHP podla mna nestaci, preto som tiez za mpm-itk.

[Reklama]

[Lupex]

buď použít modu mpm-itk jak už bylo řečeno, nebo izolovat pomocí fastcggi + suexec ( trochu náročnější konfigurace)