[Sysadmins] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?

Vladimir V. Kamarzin =?iso-8859-1?q?vvk_=CE=C1_vvk=2Epp=2Eru?=
Ср Сен 3 09:43:25 MSD 2008 

>>>>> On 02 Sep 2008 at 18:51 "AA" == Aleksey Avdeev writes:


>> AA>   Да. Но тогда у нас получается что есть специализированный,
>> _заранее_
>> AA> заданный пользователь, являющийся вебмастером...
>> Эээ, ну я подумал что вы так и хотите сделать.
AA>   Нет, я как раз хочу сделать так, чтобы любого пользователя можно
AA> было сделать вебмастером. В идеале -- нескольких сразу (чтобы одним
AA> вебсервером могло управлять несколько человек).
AA>   Наиболее заманчиво здесь использовать группы (одна точка управления:
AA> пользователь либо входит в группу webmaster, либо нет). Но при
AA> практической реализации (группа webmaster уже создаётся) -- упёрся в
AA> права на объекты ФС...

Получается не очень красиво: для делгирования прав на веб-приложение, надо
выставить группу webmaster объектам фс, при этом для предоставления прав на
запись вебсерверам придётся их включить в группу webmaster. Имхо не годится.

Если использовать вариант с группой, надо разруливать через acl-и.

>> AA>   А если мы примем, что что вебмастер -- это _любой_ пользователь
>> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
>> AA> не вижу решения без привлечения sudo.
>> Для single-hosting вариант с юзером webmaster по-моему весьма неплох.

AA>   ИМХО: вариант плох тем, что появляется некий аля-root которому
AA> потребуется своя структура поддержки. Для root она сложилась
AA> исторически. Здесь же -- её придётся создавать... Вариант с группой
AA> выглядит красивее.

>> В случае
>> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
>> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
>> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.

AA>   Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой
AA> настройки vhost-ов (установка/настройка приложений например) требуется
AA> создавать/редактировать файлы там.

Безотносительно vhosts - я не думаю что неким webmaster-ам надо давать
непосредственно править конфиги в /etc/http*. С другой стороны, можно на это
дело нарисовать control facility ;)
Будет нечто вроде control httpd-configs restricted | webmaster

AA> PS: Отправляю копию sysadmins@, т. к. вопросы разработки и
AA> администрирования здесь перепились достаточно плотно.

Да, лучше наверное здесь обсуждать.

-- 
vvk

Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix

Russian Postfix irc: irc.freenode.net #postfix-ru

Подробная информация о списке рассылки Sysadmins