о настройке сервера

[Chuda]

Вот есть сервер. На нём живёт Дебиан, а уже в нём — апач.
Есть туча сайтов, у каждого из которых свой владелец. Сейчас пользователь создаёт файлы в своей директории, имея туда доступ по ssh, но эти файлы недоступны для записи в них скриптами php. Если же наоборот, файл создан средствами php, то руками его не поправить.
Давать права на запись для группы нельзя по целому ряду причин.
Наверно надо как-то, чтобы apache+php работали от имени владельца конкретного сайта. Но как это сделать — что-то ума не приложу.
Понимаю, что тут должно быть что-то очень простое, но видимо мозга за мозгу заплелась, и несколько дней эту задачу решить не могу уж.

[Sla]

что-то типа
в конфиге

SuexecUserGroup my-domain   my-domain

[McZim]

<VirtualHost>

<Directory>

Optinons всякие разные

</Directory>

</VirtualHost>

[Chuda]

Sla, это оно?
http://httpd.apache.org/docs/2.0/suexec.html
правильно ли я понимяу, что в таком случае php не сможет работать модулем апача?

[Chuda]

McZim, всякие разные
и всё? и заработает как надо?

[Sla]

Шильгия, вроде того, но будет работать как cgi,

[McZim]

Шильгия, а нельзя разве все пользователей например включить в группу www, от этой группы запустить апачь. Или например в самом php скрипте делать chown.

[Chuda]

McZim, в php-скриптах делать ничего нельзя, а разных пользователей в одну группу — полная фигняка с безопасностью.

[McZim]

Шильгия, неправда!

[Chuda]

в чём неправда? Как ты предлагаешь тогда? Может я чего не понимаю?

[RXL]

McZim, в условиях написано: доступ на запись для группы закрыт.

[McZim]

RXL,  в том то и дело что не понятно зачем закрывать доступ на группу?
Шильгия, что ты имеешь ввиду под группой, просто группа пользователей как обошение, или группа пользователей в линукс?

[RXL]

McZim, движок такой. Изменять его нельзя. Т.е. задачу надо решить средствами ОС и Апача.

[Chuda]

Шильгия, что ты имеешь ввиду под группой … ?

группа пользователей — это одно из базовых понятий в администрировании unix-like ОС. Вот её и имею в виду. Ту самую, которая поминается в файле /etc/group

Зачем закрывать доступ группе:
во-первых, вопросы безопасности. Один пользователь не должен знать, что творится у другого. Если все в одной группе, да ещё доступ на запись для группы … в общем, понятно. Если же делать каждому пользователю свою группу, но в эту группу ещё и апача вписывать… вот не знаю, как в линуксе, но во FreeBSD один пользователь не может состоять более, чем в 16 группах. Да и всё равно это как-то некрасиво.
в третьих: используется cms Битрикс. В настройках этой cms по умолчанию права для создаваемых файлов 644. Каждому клиенту объяснить, что надо их менять из-за того, что у нас сервер настроен криво-коряво — как минимум сажать отдельного человека на техподдержку. Да и вообще, это лишнее действие.
Ну и ещё ряд причин.

[McZim]

Шильгия, во-первых, вопросы безопасности. Один пользователь не должен знать, что творится у другого

храни в хомяке и нет проблем, даже если пользователя входяи в одну группу в хомяка заходит только хозяин.

[Chuda]

McZim, ну так значит туда и апач не зайдёт так получается?

[RXL]

Шильгия, если все сайты только на php, то разграничить доступ элементарно.

Код:

<Directory /.../backup.shelek.su/www/>
    Options FollowSymLinks
    AllowOverride FileInfo Limit
    php_admin_value open_basedir /.../backup.shelek.su/
    php_admin_value upload_tmp_dir /.../backup.shelek.su/tmp/
    php_admin_value session.save_path /.../backup.shelek.su/tmp/
    php_admin_value eaccelerator.name_space backup.shelek.su # тоже удобно
</Directory>

При этом рекомендую запредить выполнение php-скриптом внешних программ и загрузку библиотек.

[Sla]

Шильгия, во Фре можно сделать и большее количество групп для пользователей - изменения в ядре и перекомпиляция онного

[McZim]

Шильгия, нечего там делать апачу

[RXL]

Давайте все-таки без флуда. Задачка распространенная - решение многим пригодится.

Что имеем:
1. Пользователь доступается по ftp или ssh. Владелец и группа - его, права - согласно настройки профиля или ftp-сервера. Типично: 0755 и 0644.
2. CMS, работающая с правами Апача. Владелец и группа у файлов, созданных ею - apache:apache.

Даже не считая возможных chmod в CMS уже на лицо конфликт: пользователь не может редактировать файлы, созданные CMS. И наоборот.

Типичное решение Unix - общая основная группа. Это позволит менять права на файлы и директории.
Напомню еще, что Linux поддерживает ACL - расширенные права. Опыта работы с ACL не имею и не могу ответить на важный вопрос - наследуют ли создаваемые в директории файлы ее права.