Jump to content

настройка сервера, пользователи и права доступа


swetlana
 Share

Recommended Posts

Обычный линуксовый сервер с апачем и php.

На нём живёт стайка сайтов.

Доступ к файлам сайтов осуществляется по ssh/sftp. Соответственно, владельцем созданных таким образом файлов становится пользователь системы, группа та же.

apache/php работают от имени www-data.

Складывается дурацкая ситуация, когда созданные руками файлы недоступны для правки средствами cms, а созданные средствами cms — недоступны для правки руками.

В какую сторону копать, чтобы сделать грамотно?

То есть, как на хостингах: Апач работает от того же имени, от которого заходим по ssh.

Link to comment
Share on other sites

Речь скорее о том, чтобы Апач работал от имени определённого пользователя. Не так?

Да не так прочитал, думал вам одних от других отделить надо

Есть вот такой модуль для апача http://mpm-itk.sesse.net/

  • Like 1
Link to comment
Share on other sites

Почему бы не дать этим пользователям одну и ту же группу (editors, например), и управлять доступами уже на уровне групп?

сейчас именно так и сделано.

Есть целый ряд неудобств.

По большому счёту не решает.

Есть вот такой модуль для апача http://mpm-itk.sesse.net/

вот это, судя по описаниям, уже что-то похожее на правду.

Спасибо за пинок в эту сторону, буду изучать.

Link to comment
Share on other sites

С ходу придумывается только одно решение — запускать скрипты через cgi и от имени разных пользователей. Работать будет немного медленнее, но зато памяти меньше будет жрать, чем mod-php. Ну и, если сайты не под дикой нагрузкой (а это, вероятно, так, ибо для нагрузки надо отдельные машины ставить), то этого никто не заметит. Я ещё подумаю — может чего ещё изобрету.

  • Like 1
Link to comment
Share on other sites

…если сайты не под дикой нагрузкой…

в данном конкретном случае речь вообще о домашнем тестовом сервере.

А в ходе гугления встречены ещё упоминания suexec и suphp.

Что это? Имеет ли смысл в данном случае?

Есть ли руководство, пригодное для человека, не ставящего цель освоить мастерство сисадмина в совершенстве?

Link to comment
Share on other sites

в данном конкретном случае речь вообще о домашнем тестовом сервере.

Тогда проще добавить всех пользователей в группу www-data, установить g+w права на файлы и не мучаться

именно так сейчас и реализовано.

Но!

Новый файл, созданный вручную, создаётся от имени user:user (менять основную группу пользователя не стоит по другим причинам).

Если на домашнем сервере развёртывается копия сайта, права 755 и 644 — группе не позволено. Требуется делать chmod -R g+w. Затем, при переносе обратно, уже загружается с иными правами, что не есть гут.

Сделать chmod -R g-w делать не следует, поскольку для некоторых каталогов должны быть права на запись для группы.

И ещё целый ряд неудобств в частностях.

В общем, при таком решении как раз не получается не мучаться.

Когда был один проект в месяц — неудобства были несущественными, и на них закрывались глаза.

Теперь же, когда каждый день этим приходится заниматься, решили поискать способ сделать удобнее.

Link to comment
Share on other sites

  • 1 month later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. See more about our Guidelines and Privacy Policy