Разграничение прав для WWW

[icb]

Задумался об оптимальной безопасности при размещения сайтов - отказываюсь от mod_php в пользу php-fpm.
Все хорошо - теперь скрипты работают от пользователя. Но получается, что пхп может писать в любой место сайта. Хотелось бы ограничить пхп в этом.
Какие есть решения такой задачи?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Electronik]

http://www.lissyara.su/articles/freebsd ... mored_bsd/

[icb]

Сами то читали что там написано? Если читали, то перечитайте мой вопрос еще раз

[vadim64]

1. вы хоть куда то обращались с этим вопросом до форума? гугл? вики? маны? коменты в дефолтовом конфиге?
2. если вы осознано перешли от обычного FastCGi на этот менеджер процессов, то вы не будете задавать такие вопросы, потому что всё сами прекрасно знаете и понимаете. я вот не знаю и не понимаю. и мне пофигу

[icb]

я вот не знаю и не понимаю. и мне пофигу

Какой смысл сюда писать если не знаете, не понимаете и пофигу?

[vadim64]

где хочу там и пишу
повторяю вопрос:

вы хоть куда то обращались с этим вопросом до форума? гугл? вики? маны? коменты в дефолтовом конфиге?

[icb]

повторяю вопрос:

Не вижу смысла продолжать дискуссию с вами.
Интересует мнение тех, кто в теме.

[Electronik]

что вы подразумеваете под словами

Но получается, что пхп может писать в любой место сайта.

[Burner]

Задумался об оптимальной безопасности при размещения сайтов - отказываюсь от mod_php в пользу php-fpm.
Все хорошо - теперь скрипты работают от пользователя. Но получается, что пхп может писать в любой место сайта. Хотелось бы ограничить пхп в этом.
Какие есть решения такой задачи?

то есть вы нажили себе проблему, которой раньше не было. А что вы получили?

[Alex Keda]

что вы подразумеваете под словами

Но получается, что пхп может писать в любой место сайта.

модулем, видимо, не мог...

[Gloft]

Задумался об оптимальной безопасности при размещения сайтов - отказываюсь от mod_php в пользу php-fpm.
Все хорошо - теперь скрипты работают от пользователя. Но получается, что пхп может писать в любой место сайта. Хотелось бы ограничить пхп в этом.
Какие есть решения такой задачи?

По логике php-fpm запускает владелец процесса веб-сервера, соответственно с этими же правами и работает php-fpm.
Ограничивай в правах пользователя процесса веб-сервера.

[icb]

что вы подразумеваете под словами

Опишу более подробно

Одно из стандартных решений для размещения сайтов - mod_php. Запускать для каждого пользователя по своему апачу смысла не имеет (ресурсов не так много). Таким образом все пхп скрипты выполняются от пользователя www. У пользователя есть аккаут и следовательно свой домашний каталог. Чтобы пхп имел возможность работать с этим каталогом можно сделать группу www. Получается, что у всех файлов имеющих разрешение на чтение для группы будет доступ для вебсервера (и для пхп тоже). Если снять права на запись для группы, то пхп не сможет писать в те каталоги/файлы. Минус такого подхода - файлы создаваемые через пхп будут иметь владельца www (т.е. надо в каждом скрипте это учитывать или периодически менять у всех файлов владельца), плюс теоретически возможен доступ к файлам другого аккаунта.

Выход из этого положения - персонализировать процессы пхп, т.е. сделать работу пхп от конкретного пользователя. Но тогда получается, что работающий от пользователя процесс пхп будет иметь доступ ко всему (что доступно пользователю). А бывают случаи, когда такой доступ хочется ограничить (например, запись в некоторые каталоги или изменения некоторых файлов). Вот и вопрос - как это ограничить?

то есть вы нажили себе проблему, которой раньше не было. А что вы получили?

Получил большую безопасность (нет потенциальной возможности доступа к чужим файлам) и убрал проблему с владельцем при создании файлов (см. подробное объяснение выше).

модулем, видимо, не мог...

Модуль мог ограничить на чтение и на запись к определенным каталогам и файлам (см. подробное объяснение выше).

По логике php-fpm запускает владелец процесса веб-сервера, соответственно с этими же правами и работает php-fpm.

В конфиге есть настройка от какого пользователя работать, т.е. можно для каждого аккаунта выделить порт и повесить php-fpm с требуемым пользователем.

[Gloft]

В конфиге есть настройка от какого пользователя работать, т.е. можно для каждого аккаунта выделить порт и повесить php-fpm с требуемым пользователем.

Значит надо ограничивать того из-под которого запускается php-fpm. Вариантов ораганичения в данном случае не так много.

[icb]

Значит надо ограничивать того из-под которого запускается php-fpm.

Тогда ограничится и сам пользователь.

Вариантов ораганичения в данном случае не так много.

Вроде тут многие сайты размещают - интересно как они решают подобные проблемы.

[vadim64]

что вы подразумеваете под словами

Опишу более подробно

Спасибо, что нашли время между построением планов мирового господства

...бла-бла-бла...
Выход из этого положения - персонализировать процессы пхп, т.е. сделать работу пхп от конкретного пользователя. Но тогда получается, что работающий от пользователя процесс пхп будет иметь доступ ко всему (что доступно пользователю). А бывают случаи, когда такой доступ хочется ограничить (например, запись в некоторые каталоги или изменения некоторых файлов). Вот и вопрос - как это ограничить?

Я конечно не проффессиональный телепат, а только учусь, но всё же попробую: почитайте Руководство FreeBSD: 13.7. Ограничение пользователей

то есть вы нажили себе проблему, которой раньше не было. А что вы получили?

Получил большую безопасность (нет потенциальной возможности доступа к чужим файлам) и убрал проблему с владельцем при создании файлов (см. подробное объяснение выше).

Для повышения безопасности ваших серверов советую вам вернуться к вашим изысканиям в области корневых серверов, PermitRootLogin и Глубины стойки 19". Так вашим серверам будет безопаснее.

Ну и ваще, повторяю вопрос:

повторяю вопрос:

вы хоть куда то обращались с этим вопросом до форума? гугл? вики? маны? коменты в дефолтовом конфиге?

[icb]

2 vadim64
Повторюсь - ваше мнение не интересует. Интересует мнение тех, кто разбирается в вопросе.

[Gloft]

Интересует мнение тех, кто разбирается в вопросе.

Решение уже написали.
Ограничивать пользователя из под которого работает php-fpm средстваим ОС и chmod на папки и файлы.

[vadim64]

to Gloft: да не вкуривает он это))) или считает что это тупое нубовское решение))) бестолку ему это говорить))) не мешай мне с ним сраться

[icb]

Ограничивать пользователя из под которого работает php-fpm средстваим ОС и chmod на папки и файлы.

Выход из этого положения - персонализировать процессы пхп, т.е. сделать работу пхп от конкретного пользователя. Но тогда получается, что работающий от пользователя процесс пхп будет иметь доступ ко всему (что доступно пользователю). А бывают случаи, когда такой доступ хочется ограничить (например, запись в некоторые каталоги или изменения некоторых файлов).

Т.е. если ограничить пользователя под которым работает php-fpm, то ограничится и сам пользователь (владелец аккаунта). А надо ограничить только пхп.
Выходит, что изначальная затея пускать пхп под пользователем аккаунта не очень хорошая. Но если пускать пхп под www, то вернется проблема с владельцем созданных файлов

[Gloft]

Кто вам мешает сдалеть пользователя специально для php-fpm и ограничить его.

[icb]

Кто вам мешает сдалеть пользователя специально для php-fpm и ограничить его.

Имею аккаунт a-user, пхп пускаю под пользователем a-php.
Тогда созданные пхп файлы будут иметь владельца a-php. Если скриптом не будут добавлены права для a-user, то владелец аккаунта (a-user) не сможет работать с этим файлом через SSH (например). А таких (не подправляющих права файлов при создании) скриптом большинство.

[vadim64]

Кто вам мешает сдалеть пользователя специально для php-fpm и ограничить его.

Имею аккаунт a-user, пхп пускаю под пользователем a-php.
Тогда созданные пхп файлы будут иметь владельца a-php. Если скриптом не будут добавлены права для a-user, то владелец аккаунта (a-user) не сможет работать с этим файлом через SSH (например). А таких (не подправляющих права файлов при создании) скриптом большинство.

А группы?

[Gloft]

Выставить пользователю a-php по умолчанию маску на создаваемые файлов допускающую читать и писать своей группе.
Добавить пользователей конектившихся через ssh в группу a-php.

[icb]

Предположим a-php создал каталог. Пусть даже создал нормально с правами на запись для группы (хотя в тестовых сборках php-fpm не хотел работать по маске, надо проверить на последних версиях).
Пользователь a-user зашел по SSH и хочет сделать так, чтобы a-php больше не писал в этот каталог (мог только читать).
Сделать это не получится, т.к. a-user не может сменить владельца у этого каталога.

[Alex Keda]

зачем вам это.
я непонимаю.
зачем такой изврат