Разграничение прав для WWW
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- лейтенант
- Сообщения: 751
- Зарегистрирован: 2008-07-15 16:11:11
Re: Разграничение прав для WWW
Так вот и интересуюсь - как иначе? Например, как сделано в ISP Manager?зачем такой изврат
Спасибо, SUIDDIR - вроде то что надо. И похоже в 8.1 не надо перекомпилировать ядро (GENERIC).
- vadim64
- майор
- Сообщения: 2101
- Зарегистрирован: 2009-09-17 15:15:26
- Откуда: Засратовец
Re: Разграничение прав для WWW
Вот почему вы так решили? Ну вот обьясните, почему вы думаете, что эта опция есть в GENERIC от 8.1 если даже там где вы её взяли написано чтоicb писал(а):И похоже в 8.1 не надо перекомпилировать ядро (GENERIC).
???http://wiki.sysfaq.ru/index.php/%D0%A1%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_%D1%81%D0%BE%D0%B1%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D0%BE%D0%B3%D0%BE_%D1%85%D0%BE%D1%81%D1%82%D0%B8%D0%BD%D0%B3%D0%B0 писал(а):К сожалению, стандартные GENERIC и SMP ядра не позволяет монтировать файловые системы с SUIDDIR
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.
-
- ст. лейтенант
- Сообщения: 1325
- Зарегистрирован: 2008-07-27 17:11:30
- Откуда: Москва
Re: Разграничение прав для WWW
есть один нюансик (выдрано из мана)Спасибо, SUIDDIR - вроде то что надо.
It provides security holes for shell users and as such should not be used on shell machines, especially on home directories.
-
- ст. лейтенант
- Сообщения: 1325
- Зарегистрирован: 2008-07-27 17:11:30
- Откуда: Москва
Re: Разграничение прав для WWW
да, забыл вчера написать еще из того же мана
This option requires the SUIDDIR option in the kernel to work.
-
- лейтенант
- Сообщения: 751
- Зарегистрирован: 2008-07-15 16:11:11
Re: Разграничение прав для WWW
Значит надо искать другие варианты.It provides security holes for shell users and as such should not be used on shell machines, especially on home directories.
Может кто знает, как реализовано это в панелях ISP Manager, Cpanel, Plesk и т.п.?
Действительно так.This option requires the SUIDDIR option in the kernel to work.
Я отредактировал /etc/fstab (приписал suiddir), перезагрузился, посмотрел в mount - вроде присутствует запись. Но реально не работает.
-
- рядовой
- Сообщения: 23
- Зарегистрирован: 2009-01-27 7:05:47
- Откуда: Томск
- Контактная информация:
Re: Разграничение прав для WWW
Я вот не могу понять - а зачем разные группы для _одного_ пользователя(в смысле закачки файла и запуска fpm). Почему бы не создать просто пользователя и не запускать php-fpm от его имени?
Сейчас вот сам перехожу на такую связки и пока вижу 2 пути:
1. Для каждого user делать a-user:g-user (php-fpm запускать в несколько пулов a-user:g-user). Ну и для nginx(запускается от www:www) используя UFS_ACL дать права на чтение с /usr/local/www.
2. Закинуть всех a-user в группу www (php-fpm запускать в несколько пулов a-user:www).
P.S. Это не хостинг - это 3-7 сайтов
Сейчас вот сам перехожу на такую связки и пока вижу 2 пути:
1. Для каждого user делать a-user:g-user (php-fpm запускать в несколько пулов a-user:g-user). Ну и для nginx(запускается от www:www) используя UFS_ACL дать права на чтение с /usr/local/www.
2. Закинуть всех a-user в группу www (php-fpm запускать в несколько пулов a-user:www).
P.S. Это не хостинг - это 3-7 сайтов
-
- проходил мимо
Re: Разграничение прав для WWW
Не оно ли часом ?
php_admin_value open_basedir home/user/site_dir
php_admin_value open_basedir home/user/site_dir