настройка сервера, пользователи и права доступа

[swetlana]

Обычный линуксовый сервер с апачем и php.

На нём живёт стайка сайтов.

Доступ к файлам сайтов осуществляется по ssh/sftp. Соответственно, владельцем созданных таким образом файлов становится пользователь системы, группа та же.

apache/php работают от имени www-data.

Складывается дурацкая ситуация, когда созданные руками файлы недоступны для правки средствами cms, а созданные средствами cms — недоступны для правки руками.

В какую сторону копать, чтобы сделать грамотно?

То есть, как на хостингах: Апач работает от того же имени, от которого заходим по ssh.

[arez]

http://ru.wikipedia.org/wiki/Chroot

UDP: Если сервер ваш то покопайте на http://www.howtoforge.com/ там впринципе много статей для быстрой настройки таких вот серверов

Edited April 29, 2011 by arez

[swetlana]

Так а зачем Chroot?

Либо он тут совсем не нужен, либо я совсем ничего не понимаю.

Речь скорее о том, чтобы Апач работал от имени определённого пользователя. Не так?

[rash]

Почему бы не дать этим пользователям одну и ту же группу (editors, например), и управлять доступами уже на уровне групп?

[arez]

Речь скорее о том, чтобы Апач работал от имени определённого пользователя. Не так?

Да не так прочитал, думал вам одних от других отделить надо

Есть вот такой модуль для апача http://mpm-itk.sesse.net/

[swetlana]

Почему бы не дать этим пользователям одну и ту же группу (editors, например), и управлять доступами уже на уровне групп?

сейчас именно так и сделано.

Есть целый ряд неудобств.

По большому счёту не решает.

Есть вот такой модуль для апача http://mpm-itk.sesse.net/

вот это, судя по описаниям, уже что-то похожее на правду.

Спасибо за пинок в эту сторону, буду изучать.

[Veseloff]

С ходу придумывается только одно решение — запускать скрипты через cgi и от имени разных пользователей. Работать будет немного медленнее, но зато памяти меньше будет жрать, чем mod-php. Ну и, если сайты не под дикой нагрузкой (а это, вероятно, так, ибо для нагрузки надо отдельные машины ставить), то этого никто не заметит. Я ещё подумаю — может чего ещё изобрету.

[swetlana]

…если сайты не под дикой нагрузкой…

в данном конкретном случае речь вообще о домашнем тестовом сервере.

А в ходе гугления встречены ещё упоминания suexec и suphp.

Что это? Имеет ли смысл в данном случае?

Есть ли руководство, пригодное для человека, не ставящего цель освоить мастерство сисадмина в совершенстве?

[s0rr0w]

в данном конкретном случае речь вообще о домашнем тестовом сервере.

Тогда проще добавить всех пользователей в группу www-data, установить g+w права на файлы и не мучаться

[swetlana]

в данном конкретном случае речь вообще о домашнем тестовом сервере.

Тогда проще добавить всех пользователей в группу www-data, установить g+w права на файлы и не мучаться

именно так сейчас и реализовано.

Но!

Новый файл, созданный вручную, создаётся от имени user:user (менять основную группу пользователя не стоит по другим причинам).

Если на домашнем сервере развёртывается копия сайта, права 755 и 644 — группе не позволено. Требуется делать chmod -R g+w. Затем, при переносе обратно, уже загружается с иными правами, что не есть гут.

Сделать chmod -R g-w делать не следует, поскольку для некоторых каталогов должны быть права на запись для группы.

И ещё целый ряд неудобств в частностях.

В общем, при таком решении как раз не получается не мучаться.

Когда был один проект в месяц — неудобства были несущественными, и на них закрывались глаза.

Теперь же, когда каждый день этим приходится заниматься, решили поискать способ сделать удобнее.

[selevit]

А если сервер домашний, почему бы апач не добавить в группу с соответсвующими правами?