[Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?

Michael Shigorin =?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Чт Сен 4 15:27:50 MSD 2008


On Tue, Sep 02, 2008 at 02:07:08PM +0400, Aleksey Avdeev wrote:
> Как вебмастеру его права, не давая ему root`а?

Локальным рутом, разумеется.  Организовав необходимые права
на нужные каталоги.

> Имеем:
> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
> принадлежать root`у.
> 2. Не должно быть файлов открытых для записи всем пользователям.
> 3. Желательно избежать наличия каталогов, открытых для записи всем 
> пользователями.

Совсем не так.  Перечитай "Атрибуты файлов и каталогов":
http://docs.altlinux.ru/alt/devel/ch01s03.html

> В то же время для веб приложений (да и самих веб серверов)
> актуально следующие (считаем что webmaster -- пользователь
> отличный от root и имеющий обязанности вебмастера):
> 
> 1. Есть файлы которые имеют права создавать/редактировать как
> вебсервер так и webmaster.

Как правило, они принадлежат пользователю %вебсервер и группе
%вебмастер, при этом запись разрешена и владельцу, и группе.

> 2. Есть каталоги, содержимое которых имеют право менять как
> вебсервер так и webmaster.

Аналогично (+sgid по надобности).

> 3. Есть файлы которые имеет право менять только webmaster,а
> читать -- webmaster и вебсервер, но не любой другой
> пользователь.

Права вида 0460 тоже работают, вот только если владелец имеет
доступ к каталогу, где лежит такой файл -- он в состоянии выдать
себе право на запись.

> Я слабо представляю как это разрулить в полном объёме

Не стоит решать задачи, которые не стоят: можно намудрить ужасов
на ровном месте.

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/



Подробная информация о списке рассылки Sysadmins