[Sysadmins] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?
Vladimir V. Kamarzin
=?iso-8859-1?q?vvk_=CE=C1_vvk=2Epp=2Eru?=
Ср Сен 3 09:43:25 MSD 2008
>>>>> On 02 Sep 2008 at 18:51 "AA" == Aleksey Avdeev writes:
>> AA> Да. Но тогда у нас получается что есть специализированный,
>> _заранее_
>> AA> заданный пользователь, являющийся вебмастером...
>> Эээ, ну я подумал что вы так и хотите сделать.
AA> Нет, я как раз хочу сделать так, чтобы любого пользователя можно
AA> было сделать вебмастером. В идеале -- нескольких сразу (чтобы одним
AA> вебсервером могло управлять несколько человек).
AA> Наиболее заманчиво здесь использовать группы (одна точка управления:
AA> пользователь либо входит в группу webmaster, либо нет). Но при
AA> практической реализации (группа webmaster уже создаётся) -- упёрся в
AA> права на объекты ФС...
Получается не очень красиво: для делгирования прав на веб-приложение, надо
выставить группу webmaster объектам фс, при этом для предоставления прав на
запись вебсерверам придётся их включить в группу webmaster. Имхо не годится.
Если использовать вариант с группой, надо разруливать через acl-и.
>> AA> А если мы примем, что что вебмастер -- это _любой_ пользователь
>> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
>> AA> не вижу решения без привлечения sudo.
>> Для single-hosting вариант с юзером webmaster по-моему весьма неплох.
AA> ИМХО: вариант плох тем, что появляется некий аля-root которому
AA> потребуется своя структура поддержки. Для root она сложилась
AA> исторически. Здесь же -- её придётся создавать... Вариант с группой
AA> выглядит красивее.
>> В случае
>> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
>> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
>> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.
AA> Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой
AA> настройки vhost-ов (установка/настройка приложений например) требуется
AA> создавать/редактировать файлы там.
Безотносительно vhosts - я не думаю что неким webmaster-ам надо давать
непосредственно править конфиги в /etc/http*. С другой стороны, можно на это
дело нарисовать control facility ;)
Будет нечто вроде control httpd-configs restricted | webmaster
AA> PS: Отправляю копию sysadmins@, т. к. вопросы разработки и
AA> администрирования здесь перепились достаточно плотно.
Да, лучше наверное здесь обсуждать.
--
vvk
Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix
Russian Postfix irc: irc.freenode.net #postfix-ru
Подробная информация о списке рассылки Sysadmins