[Sysadmins] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?

[Aleksey Avdeev]

Vladimir V. Kamarzin пишет:
>>>>>> On 02 Sep 2008 at 18:51 "AA" == Aleksey Avdeev writes:
> 
> 
>>> AA>   Да. Но тогда у нас получается что есть специализированный,
>>> _заранее_
>>> AA> заданный пользователь, являющийся вебмастером...
>>> Эээ, ну я подумал что вы так и хотите сделать.
> AA>   Нет, я как раз хочу сделать так, чтобы любого пользователя можно
> AA> было сделать вебмастером. В идеале -- нескольких сразу (чтобы одним
> AA> вебсервером могло управлять несколько человек).
> AA>   Наиболее заманчиво здесь использовать группы (одна точка управления:
> AA> пользователь либо входит в группу webmaster, либо нет). Но при
> AA> практической реализации (группа webmaster уже создаётся) -- упёрся в
> AA> права на объекты ФС...
> 
> Получается не очень красиво: для делгирования прав на веб-приложение, надо
> выставить группу webmaster объектам фс, при этом для предоставления прав на
> запись вебсерверам придётся их включить в группу webmaster. Имхо не годится.

   Может более осмысленно наоборот: включить вебмастера в группу 
_webserver (+ группы соответствующие конкретным серверам)? Тогда 
вебсервер не будет иметь права вебмастера...

   Минусы:

1. При этом мы теряем единую точку управления (пользователя придётся 
включать в несколько групп, но эта задача поддаётся автоматизации).

2. Группу _webserver придётся переименовывать (т. к. в неё будут входить 
реальные пользователи).

> 
> Если использовать вариант с группой, надо разруливать через acl-и.

   Хотелось бы этого избежать.

> 
>>> AA>   А если мы примем, что что вебмастер -- это _любой_ пользователь
>>> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
>>> AA> не вижу решения без привлечения sudo.
>>> Для single-hosting вариант с юзером webmaster по-моему весьма неплох.
> 
> AA>   ИМХО: вариант плох тем, что появляется некий аля-root которому
> AA> потребуется своя структура поддержки. Для root она сложилась
> AA> исторически. Здесь же -- её придётся создавать... Вариант с группой
> AA> выглядит красивее.
> 
>>> В случае
>>> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
>>> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
>>> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.
> 
> AA>   Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой
> AA> настройки vhost-ов (установка/настройка приложений например) требуется
> AA> создавать/редактировать файлы там.
> 
> Безотносительно vhosts - я не думаю что неким webmaster-ам надо давать
> непосредственно править конфиги в /etc/http*. С другой стороны, можно на это
> дело нарисовать control facility ;)
> Будет нечто вроде control httpd-configs restricted | webmaster

   Принято. ;-)

-- 

С уважением. Алексей.


----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : signature.asc
Тип     : application/pgp-signature
Размер  : 552 байтов
Описание: OpenPGP digital signature
Url     : <http://lists.altlinux.org/pipermail/sysadmins/attachments/20080903/42c5c838/attachment-0002.bin>