доступ proFTPd к диреткории сайта.

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

доступ proFTPd к диреткории сайта.

Непрочитанное сообщение chillivilli » 2010-09-17 17:00:04

Что-то не могу нигде найти вменяемой информации по настройке фтп доступа не рутового, а, например, wwwadmin пользователя к папке с содержимым сайта. Естественно владельцем всех диреткорий и файлов в этом каталоге является пользователь от которого работает например апач -www:www. Так вот каким образом дать пользователю wwwadmin доступ в эту директорию на чтение\ЗАПИСЬ? Понятно что можно выставить права 0777 и все будет писаться, но может быть есть более грамотный метод?

да чуть не забыл. Пользователь реальный системный, нет ни mysql базы ни файла с пользователями. Создан wwwadmin с одноименной группой и директорией домашней НЕ РАВНОЙ директории с содержимым сайта.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Нефиг_чем_заняться
проходил мимо

Re: доступ proFTPd к диреткории сайта.

Непрочитанное сообщение Нефиг_чем_заняться » 2010-09-20 5:59:09

chillivilli писал(а):Естественно владельцем всех диреткорий и файлов в этом каталоге является пользователь от которого работает например апач -www:www.
ИМХО это не совсем "естественно". С какого испугу www должен быть хозяином директорий? WWW - это доступ со всего мира, то бишь - все.

Код: Выделить всё

#!/bin/sh

wwwdir='/usr/local/www/site'   # поменять на вашу www-dir

cd ${wwwdir}
chown -R root:wwwadmin ${wwwdir}

find ./ -type d  -exec chmod 775 {} \;
find ./ -type f  -exec chmod 664 {} \;

exit 0
На те же директории где WWW может писать дать экслюзивно 777. Хотя это не есть гуд. Директории с доступом на запись для WWW надо убирать за пределы досягаемости ХТТП сервака(то бишь ниже DOCUMENT_ROOT), а вот динамический софт (типа ПХП) который работает от имени www может без проблем залезть ниже чем DOCUMENT_ROOT если ему так это надо, но особо глубоко ему тоже не стоит давать права, а ограничить максимум на одну директорию ниже чем DOCUMENT_ROOT.

chillivilli
мл. сержант
Сообщения: 92
Зарегистрирован: 2009-06-19 12:31:04
Откуда: Санкт-Петербург

Re: доступ proFTPd к диреткории сайта.

Непрочитанное сообщение chillivilli » 2010-09-20 23:00:04

Абракадабра

Нефиг_чем_заняться
проходил мимо

Re: доступ proFTPd к диреткории сайта.

Непрочитанное сообщение Нефиг_чем_заняться » 2010-09-26 0:00:17

chillivilli писал(а):Абракадабра
Абракадабра у вас в голове :) (шутка)

Пример:
Есть три камеры для зэков,
1-только для мужиков
2-только для телок
3-педики
Однако начальник тюрьмы начитавшись how-to о демократии и толерантности - снимает перегородки между камерами и тем самым уравнивает всех в правах.
Теперь дилема - как оградить телок от мужиков и мужиков с телками от педиков становиться - неразрешимой.

Приблизительно тоже самое делаете и вы назначая хозяином директорий www:www что в итоге - уравниловка в правах.

Просто в тырнете копипастники и хауто-шники даже не задумываясь понаплодили море справок - что де мол директории из которых сервается ХТТП контент с какого то испугу должены быть с правами ХТТП - сервака.

Теперь включаем логику. Кто такой ХТТП сервак? Сервис обслуживающий группу other (или по русски - всех кого не попадя) Скомпроментировав сервак, хрен его знает кто-то получает доступ к директориям. Логика где?

Я вам предложил на мой взгляд более правильное решение: полный хозяин - ROOT, группа wwwadmin - Админы ХТТП контента, а всем кому не поподя - то, что и задумывалось под термином - OTHER и www в том числе. В итоге wwwadmin вошкается с правами и контентом как еиу вздумается, HTTP сервак сервает контент на правах группы other, а root как ему и положено , над всеми - голова.
Такое решение очень удобно делать в jail-ах. При таком раскладе у вас есть три группы и гибкость по назначению прав.
В вашем же случае www:www - вы всех три группы привели к одним и тем же правам.
Если же у вас сервак работает как хостинг площадка и вы хотите чтобы локальные пользователи (или хозяева других виртуальных хостов)не подглядывали на контент в директориях с ХТТП контентом друг у друга, то сделайте chown -R wwwadmin:www на директориях с ХТТП контентом, - в этом случае у вас появиться хоть какая то гибкость- wwwadmin-у можно будет давать права на запись, а группе www только чтение. Группа other в этом случае - с перекрытым кислородом.