Skupiny a uživatelská práva na hostingu

amater

Skupiny a uživatelská práva na hostingu
« kdy: 15. 12. 2012, 11:16:28 »
Pekny den, resim server pro par znamich kde bude hosting. Mam virtualni ucty pro ftp pripojeni (PureFTP). Uzivatel se prihlasi jako ftpuser:ftpgroup. Pod timto uzivatelem zaklada i nove soubory (prava 750). Apache je spusten pod uzivatelem apache skupina apache. Pokud tedy nejaky uzivatel pristoupi prez web na stranku a je zapotrebi zapsat nejaka data z webu na disk pak vznika problem jelikoz nema uzivatel apache pristup do slozek uzivatele ftpuser. Otazka zni jak tyto dva uzivatelske ucty propojit, aby to bylo bezpecne. Jestli udelat apache clenem skupiny ftpgroup a pak nastavit pro kopirovani ci vytvareni novych souboru na ftp chmod na povoleni zapisu skupinou do adresaru apod. nebo nastavit novym souboru povoleni zapisu vsech?
« Poslední změna: 16. 12. 2012, 12:52:48 od Petr Krčmář »


McFly

  • *****
  • 607
    • Zobrazit profil
    • E-mail
Re:skupiny a uzivastelska prava na hostingu
« Odpověď #1 kdy: 15. 12. 2012, 11:26:24 »
Každý vhost spusť pod vlastním uživatelem a skupinou. Realizovat se to dá pomoci modulu MPM ITK, viz Google.

poiu

Re:skupiny a uzivastelska prava na hostingu
« Odpověď #2 kdy: 15. 12. 2012, 11:31:41 »
Alebo si nainstaluj mod_apparmor a kazdemu VHostu daj vlastny hat. Potom nepojde o to, pod akym uzivatelom to bude bezat a bude to rychlejsie (len zmena hat) a pravdepodobne bezpecnejsie ako bezne spraveny MPM-ITK - MPM-ITK sposobi to, ze minimalne do vyparsovania Host: z hlavicky bezi Apache ako root, co nie je velmi bezpecne, ak sa to este nejak neosetri. V apparmori si potom nastavis, kam vsade moze kazdy uzivatel pristupovat - tym ich mozes odtienit aj od systemovej konfiguracie, ktora musi byt citatelna.

Pilgrim

Re:skupiny a uzivastelska prava na hostingu
« Odpověď #3 kdy: 15. 12. 2012, 13:36:55 »
Dobrý den,
asi bych Vám doporučil ISPConfig. Na howtoforge.net je nespočet tutoriálů na instalaci takového serveru.
Vyřeší Vám to veškeré problémy s konfigurací serveru i zabezpečením. Sám toto řešení mám nasazený ve velkém na cca 50 serverech.

amater

Re:skupiny a uzivastelska prava na hostingu
« Odpověď #4 kdy: 15. 12. 2012, 13:52:43 »
Hezky den - ISPconfig hm neznal sem kouknu na to vypada to velmi zajimave. I kdyz jsem priznivec spise vlastni konfigurace kde presne vim co je a hlavne jak nastaveno.
Co se tyce mpm-itk znamena to, ze pro kazdy hosting bude spusten apache s jinym uzivatelem a skupinou, ale jak tedy bude nasledne fungovat ftp pripojeni? Pripripojeni k virtual ftp uctu je uzivatel sice chrootovan do sve slozky, ale v podstate je prihlasen jako ftpuser:ftpgroup. Teda takove chovani ma aspon mnou pouziti pureftp.


Pilgrim

Re:skupiny a uzivastelska prava na hostingu
« Odpověď #5 kdy: 15. 12. 2012, 14:28:56 »
Tak s ISPConfigem lze použít i vlastní konfigurace...
Také mám pureftpd na serverech. Stačí když nastavíte uživatelům ftp, aby se přihlašovali jako uživatel:skupina daného webu.

amater

Re:skupiny a uzivastelska prava na hostingu
« Odpověď #6 kdy: 15. 12. 2012, 20:25:43 »
Takze mam z virtualnich uzivatelu udelat systemove? Nebo jak rict PureFTP, aby se uzivatel neprihlasoval jako ftpuser:ftpgroup, ale jako napr. domena1_cz:domana1_cz?  Lze toto vubec bez existence systemoveho uctu? Prece virtualni uzivatel nema sve UID+GID, ale prebira jej od systemoveho uzivatele, v mem pripade ftpuser:ftpgroup 1000:1000. PureFTP by musel generovat nove UID+GID, tak aby nekolidovalo s existujicimi systemovymi ucty. Snazil sem se hledat, ale nenasel jsem jak na to. Proletel sem dokumentaci a sem asi slepej a nebo blbej i kdyz obe moznosti se nevylucuji.
Mohl bys me primo nakopnout (rozumnej byt trochu konkretnejsi)? Dekuji.

PS: U PureFTP se mi libi, mimo jinych vlastnosti, snadna implementace diskovych kvot, a tak nechci prechazet na jiny.

amater

Re:skupiny a uzivastelska prava na hostingu
« Odpověď #7 kdy: 15. 12. 2012, 21:04:00 »
Tak sem otestoval tento postup:
-dal sem zmenit vlastnika a skupinu na jednom adresari
-vlastnik a skupina maji ID 1001
-v databazi virtualnich uzivatelu jsem dal uzivateli stejny ID pro vlastnika a uzivatele tzn 1001
-ted nastavim mpm itk a uvidime.

Prekvapilo me ze jde priradit uid a gid adresari neexistujiciho uzivatele. Clovek se porad uci.

amater

Re:skupiny a uzivastelska prava na hostingu
« Odpověď #8 kdy: 15. 12. 2012, 22:06:13 »
Takze jen doplnim - vsechno funguje. Konfigurace mpm-itk: staci jen pridat do sekce VirtualHostu AssignUserId [#idUzivatele] [#idSkupiny]
Pokud chcete byt dusledni jako ja pridame jeste podminku pro existenci modulu tzn:
Kód: [Vybrat]
<VirtualHost *:80>
    ....
    ....
    <IfModule mpm_itk_module>
        AssignUserId [#idUzivatele] [#idSkupiny]   # U me to vypada AssignUserId #1001 #1001
                                                                 # V pripade pokud je GID nebo UID cislo je zapotrebi pred nej
                                                                 # napsat mrizku tedy '#'. Jinak normalne text.
    </IfModule>
<VirtualHost *:80>

Diky.