[Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?
Aleksey Avdeev
=?iso-8859-1?q?solo_=CE=C1_solin=2Espb=2Eru?=
Чт Сен 4 16:50:42 MSD 2008
Michael Shigorin пишет:
> On Thu, Sep 04, 2008 at 03:36:06PM +0400, Aleksey Avdeev wrote:
>>>> 1. Есть файлы которые имеют права создавать/редактировать как
>>>> вебсервер так и webmaster.
>>> Как правило, они принадлежат пользователю %вебсервер и группе
>>> %вебмастер, при этом запись разрешена и владельцу, и группе.
>> Это характерно для файлов созданных вебсервером в процессе
>> работы. Если файл с такими правами содержится в пакете --
>> получаем противоречие со ссылкой приведённой выше (т. к. файлом
>> владеет псевдопользователь).
>
> В пакете-то зачем? Пакету с веб-софтиной место в /usr/share обычно.
> Посмотри Debian webapp policy.
1. Промежуточное решение, до ввода в эксплуатацию менеджера виртуалхостов.
2. Отладить часть функционала вышеозначенного менеджера, до его
фактического написания. Реализация на базе rpm позволит:
а) уже сейчас понять а что собственно нам нужно;
б) отложить реализацию установки/обновления вебаппов (наиболее
трудоёмкая часть) без блокировки более простой задачи (управление
правами в /var/www/).
>
> [из жабера]
>
> [15:13:20] <mike> по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name
> [15:13:22] <mike> под рутом
> [15:13:46] <mike> а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхоста
> [15:13:57] <mike> с симлинками и прочим скорее никак
> [15:14:17] <mike> если не симлинкать всё подряд, то так умеют на сейчас считанные единицы софта (например, typo3)
> [15:14:40] <solo>
>> по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name
>> под рутом
> С этим -- согласен полностью.
> [15:15:26] <mike> собсно с вебполиси половина мороки -- про разные серверы и то, что они часть умеют "одинаково", часть "по-своему"
> [15:15:45] <mike> а большая половина -- как раз про application deployment/upgrade
> [15:16:10] <solo>
>> а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхоста
> А сдесь -- проблема вебмастера и выползает. (Особенно -- если это не виртхост.)
> [15:16:11] <mike> с учётом уровня развития нонешнего вебсофта как линуксового в 93 -- "вот здесь подправить, вот здесь добавить"
> [15:18:15] <solo> Основная проблема в singlхосте (или как там его правельно) -- при установке пакета (и особенно, при его сборке) мы незнаем кто (какой пользователь) будет вебмастером.
> [15:18:33] <mike> и не надо
> [15:18:48] <mike> надо иметь возможность указать группу
> [15:18:59] <solo> Болие того -- пользователей с правами вебмастера может быть несколько (возможно я сдесь перегибаю палку).
> [15:19:07] <mike> которая рулит виртхостом (дальше -- и конкретным аппом при нужде)
> [15:20:04] <solo>
>> надо иметь возможность указать группу
> Такая возможность есть. И я _сильно_ хочу ей и ограничится (чтобы некого псевдо root`а не заводить).
>
[продолжение банкета]
[16:27]<solo> А раз псевдо root`а не заводим, то получается что
принадлежащих ему файлов/каталогов в пакете быть недолжно. И максиум к
чему мы можем тогда привязываться -- это г руппам.
[16:29]<solo> Но для решения данной задачи руления только групавыми
провами недостаточно: как миниум нужны файлы доступные группе _webserver
на чтение и группе webmaster на запись...
[16:31]<solo> Как вариант решения возможен переход к парадигме: то что
может редактировать вабсервер -- может редактировать и вебмастер.
[16:35]<solo> Тогда:
1. Пользователь-вебмастер включается во все группы вабсерверов, которыми
он имеет права рулить.
2. Пользователь-вебмастер включается в группу webmaster.
3. umask для вебсерверов выставляется так, чтобы создаваемые ими файлы
имели права 664 (а не 644, как сейчас).
[16:36]<solo> Основной вопрос, который меня по этому поводу мучит --
насколько удобно данное решение, и покрывает ли оно большенство частных
случаев...
--
С уважением. Алексей.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : signature.asc
Тип : application/pgp-signature
Размер : 552 байтов
Описание: OpenPGP digital signature
Url : <http://lists.altlinux.org/pipermail/sysadmins/attachments/20080904/657e608c/attachment-0002.bin>
Подробная информация о списке рассылки Sysadmins