Apache, mpm-itk и единая точка входа?

Question

[Антон Пискунов]

Вот такой гемморой мне на голову свалился: есть сервер с апачем и mpm-itk. Каждый юзверь имеет уютненькую директорию где он является владельцем всех папок\файлов, то бишь vasya:vasya. На его домены апач через mpm-itk откликается и работает так же как vasya:vasya.


Есть файловый менеджер, у которого единая точка входа и на котором mpm-itk настроен на www-data:www-data.


Проблема: человек через файловый менеджер имея доступ к своей директории, не может ничего менять\создавать без прав 666 у файлов\папок с владельцем vasya:vasya так как файл-менеджер работает из под www-data:www-data. Права выставлять не панацея…


Как быть? Как решить проблему с владельцем, господа?

Comments

[Антон Пискунов]

Я решил проблему отказом от работы через файловую систему сервера заменив ее работой через FTP. Для пользователя не меняется ровным счетом ничего, а результат достигнут.

Answer 1

[Анатолий]

Много файловых манагеров? fm.vasya.com; fm.vova.com, etc

Comments

[Антон Пискунов]

Эта идея крутилась в голове, она многое решила бы… Но жду другие варианты — этот потянет за собой много изменений и доработок, не хотелось бы прибегать к нему.

[Анатолий]

Очень часто на хостингах ставят панели таким образом, чтоб избежать гемороя =) либо не поддомен а просто vasya.com/tools/fm выбрать папочку (допустим tools) и дать права только на чтение, чтоб пользователь сам не удалил ниче оттуда.

Answer 2

[Krio]

А вариант в группу vasya добавить пользователя www-data не вариант?

Comments

[Антон Пискунов]

Совсем не то. Ситуация не изменится.

Answer 3

[sledopit]

Так в вашем случае 2 варианта развития:
1. Меняете права у файлов.
2. Меняете права у владельца процесса.

По второму пути вы идти по своим соображениям не хотите, хотя это, имхо, самый логичный и безопасный путь.

А если вы хотите пойти по первому пути, то вы создаете потенциальную дыру в безопасности, когда любой пользователь файлового менеджера имеет доступ не только к своим файлам, но и к чужим. Тем не менее, помимо упомянутой возможности добавить пользователя www-data в кучу групп и сменить umask в веб-сервере и что-там еще имеет доступ к обрабатываемым файлам, есть acl. Можете воспользоваться ими.

Answer 4

[zibada]

используйте mod_alias:
Alias /filemanager/ "/usr/share/filemanager/"
и туда положить сам скрипт.

физически это будет одна копия, но ни прав на запись, ни ftp-доступа у пользователей к ней не будет.
права апача будут ставиться какие надо, в зависимости от хоста.

Comments

[zibada]

если вдруг это неочевидно, точка входа для каждого пользователя получится _http://его_домен/filemanager/