Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: о настройке сервера  (Прочитано 19122 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Chuda
Гость
« : 11-09-2008 13:17 » 

Вот есть сервер. На нём живёт Дебиан, а уже в нём — апач.
Есть туча сайтов, у каждого из которых свой владелец. Сейчас пользователь создаёт файлы в своей директории, имея туда доступ по ssh, но эти файлы недоступны для записи в них скриптами php. Если же наоборот, файл создан средствами php, то руками его не поправить.
Давать права на запись для группы нельзя по целому ряду причин.
Наверно надо как-то, чтобы apache+php работали от имени владельца конкретного сайта. Но как это сделать — что-то ума не приложу.
Понимаю, что тут должно быть что-то очень простое, но видимо мозга за мозгу заплелась, и несколько дней эту задачу решить не могу уж.
Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #1 : 11-09-2008 13:28 » 

что-то типа
в конфиге

SuexecUserGroup my-domain   my-domain
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
McZim
Команда клуба

ru
Offline Offline
Пол: Мужской
Я странный


WWW
« Ответ #2 : 11-09-2008 13:43 » 

<VirtualHost>

<Directory>

Optinons всякие разные

</Directory>

</VirtualHost>
Записан

The CBO without stats is like a morning without coffee. (c) T.Kyte.
Chuda
Гость
« Ответ #3 : 11-09-2008 14:01 » 

Sla, это оно?
http://httpd.apache.org/docs/2.0/suexec.html
правильно ли я понимяу, что в таком случае php не сможет работать модулем апача?
Записан
Chuda
Гость
« Ответ #4 : 11-09-2008 14:02 » 

McZim, всякие разные Не понял
и всё? и заработает как надо? Здесь была моя ладья...
Записан
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #5 : 11-09-2008 14:10 » 

Шильгия, вроде того, но будет работать как cgi,
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
McZim
Команда клуба

ru
Offline Offline
Пол: Мужской
Я странный


WWW
« Ответ #6 : 11-09-2008 14:10 » 

Шильгия, а нельзя разве все пользователей например включить в группу www, от этой группы запустить апачь. Или например в самом php скрипте делать chown.
Записан

The CBO without stats is like a morning without coffee. (c) T.Kyte.
Chuda
Гость
« Ответ #7 : 11-09-2008 14:34 » new

McZim, в php-скриптах делать ничего нельзя, а разных пользователей в одну группу — полная фигняка с безопасностью.
Записан
McZim
Команда клуба

ru
Offline Offline
Пол: Мужской
Я странный


WWW
« Ответ #8 : 11-09-2008 15:12 » 

Шильгия, неправда!
Записан

The CBO without stats is like a morning without coffee. (c) T.Kyte.
Chuda
Гость
« Ответ #9 : 11-09-2008 16:21 » 

в чём неправда? Как ты предлагаешь тогда? Может я чего не понимаю?
Записан
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #10 : 11-09-2008 16:29 » 

McZim, в условиях написано: доступ на запись для группы закрыт.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
McZim
Команда клуба

ru
Offline Offline
Пол: Мужской
Я странный


WWW
« Ответ #11 : 11-09-2008 16:56 » 

RXL,  в том то и дело что не понятно зачем закрывать доступ на группу?
Шильгия, что ты имеешь ввиду под группой, просто группа пользователей как обошение, или группа пользователей в линукс?
Записан

The CBO without stats is like a morning without coffee. (c) T.Kyte.
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #12 : 11-09-2008 16:57 » 

McZim, движок такой. Изменять его нельзя. Т.е. задачу надо решить средствами ОС и Апача.
Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Chuda
Гость
« Ответ #13 : 11-09-2008 19:23 » 

Шильгия, что ты имеешь ввиду под группой … ?
группа пользователей — это одно из базовых понятий в администрировании unix-like ОС. Вот её и имею в виду. Ту самую, которая поминается в файле /etc/group

Зачем закрывать доступ группе:
во-первых, вопросы безопасности. Один пользователь не должен знать, что творится у другого. Если все в одной группе, да ещё доступ на запись для группы … в общем, понятно. Если же делать каждому пользователю свою группу, но в эту группу ещё и апача вписывать… вот не знаю, как в линуксе, но во FreeBSD один пользователь не может состоять более, чем в 16 группах. Да и всё равно это как-то некрасиво.
в третьих: используется cms Битрикс. В настройках этой cms по умолчанию права для создаваемых файлов 644. Каждому клиенту объяснить, что надо их менять из-за того, что у нас сервер настроен криво-коряво — как минимум сажать отдельного человека на техподдержку. Да и вообще, это лишнее действие.
Ну и ещё ряд причин.
Записан
McZim
Команда клуба

ru
Offline Offline
Пол: Мужской
Я странный


WWW
« Ответ #14 : 11-09-2008 19:28 » 

Шильгия, во-первых, вопросы безопасности. Один пользователь не должен знать, что творится у другого

храни в хомяке и нет проблем, даже если пользователя входяи в одну группу в хомяка заходит только хозяин.
Записан

The CBO without stats is like a morning without coffee. (c) T.Kyte.
Chuda
Гость
« Ответ #15 : 11-09-2008 19:39 » 

McZim, ну так значит туда и апач не зайдёт Отлично так получается?
Записан
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #16 : 12-09-2008 05:46 » 

Шильгия, если все сайты только на php, то разграничить доступ элементарно.

Код:
<Directory /.../backup.shelek.su/www/>
    Options FollowSymLinks
    AllowOverride FileInfo Limit
    php_admin_value open_basedir /.../backup.shelek.su/
    php_admin_value upload_tmp_dir /.../backup.shelek.su/tmp/
    php_admin_value session.save_path /.../backup.shelek.su/tmp/
    php_admin_value eaccelerator.name_space backup.shelek.su # тоже удобно
</Directory>

При этом рекомендую запредить выполнение php-скриптом внешних программ и загрузку библиотек.
« Последнее редактирование: 12-09-2008 05:50 от RXL » Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Sla
Команда клуба

ua
Offline Offline
Пол: Мужской

WWW
« Ответ #17 : 12-09-2008 06:18 » 

Шильгия, во Фре можно сделать и большее количество групп для пользователей - изменения в ядре и перекомпиляция онного
Записан

Мы все учились понемногу... Чему-нибудь и как-нибудь.
McZim
Команда клуба

ru
Offline Offline
Пол: Мужской
Я странный


WWW
« Ответ #18 : 12-09-2008 06:19 » 

Шильгия, нечего там делать апачу Улыбаюсь
Записан

The CBO without stats is like a morning without coffee. (c) T.Kyte.
RXL
Технический
Администратор

Offline Offline
Пол: Мужской

WWW
« Ответ #19 : 12-09-2008 14:38 » 

Давайте все-таки без флуда. Задачка распространенная - решение многим пригодится.

Что имеем:
1. Пользователь доступается по ftp или ssh. Владелец и группа - его, права - согласно настройки профиля или ftp-сервера. Типично: 0755 и 0644.
2. CMS, работающая с правами Апача. Владелец и группа у файлов, созданных ею - apache:apache.

Даже не считая возможных chmod в CMS уже на лицо конфликт: пользователь не может редактировать файлы, созданные CMS. И наоборот.

Типичное решение Unix - общая основная группа. Это позволит менять права на файлы и директории.
Напомню еще, что Linux поддерживает ACL - расширенные права. Опыта работы с ACL не имею и не могу ответить на важный вопрос - наследуют ли создаваемые в директории файлы ее права.
« Последнее редактирование: 12-09-2008 14:40 от RXL » Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines