Как настроить nginx под разных пользователей?

Question

[wedytd]

Есть у меня vds сервер с debian. На нём поднят nginx с php-fpm. Была написана панель управления на php (Использовать панели типа ispamanagerа я не хочу) с регистрацией юзера когда он вводит свои данные в форму полученные данные из формы отправляются в базу данных где есть таблица users и поле domain php берёт данные из формы и создаёт сайт с именем который ввёл пользователь. Но владелец у сайта www-data как сделать чтобы владельцем сайта был пользователь который его создал?

Comments

[Valentin Barbolin]

> как сделать чтобы владельцем сайта был пользователь который его создал?
Не получиться, nginx работает от www-data соответственно у этого пользователя должны быть права на эту папку.

Есть пару вариантов, но они либо сложные либо не безопасные:
1) Запустить nginx от root, но это не безопасно.
2) Можно попробовать добавлять указанного пользователя в группу www-data, но так же надо будет править права на эти директории, что бы группе хватало прав. Так же надо будет добавить скрипт который будет обновлять права на директорию, после изменений сделанных CMS. Но это все равно половинчатое решение, т.к. все пользователи будут состоять в группе www-data и соответственно иметь доступ к другим директориям.
3) Создать виртуальные пространства для каждого пользователя, но это сложно в реализации.
4) Сделать все через докер. Один пользователь - один контейнер докер.

Почему бы не подсмотреть как это реализовано у ispamanagerа? Поставить триалку, посоздавать пользователей, посмотреть как ispamanagerа разруливает права.

[Ипатьев]

Andrey Barbolin, прекрасно получится. Так много лет работали все хостинги до появления панелек и контейнеров
Только добавлять надо не пользователя в группу www-data, а наоборот - пользователя www-data в группу пользователя.

В любом случае автору это всё уже не нужно. Никаких разных пользователей и сайтов у него нет, а только банальные виртуальные субдомены. Которые он зачем-то решил делать "папочками".

Answer 1

[Алексей Сундуков]

Для этого нужно запустить отдельный pool задав директиву user см. https://www.php.net/manual/ru/install.fpm.configur... . Тогда php будет выполняться от заданного юзера, а не www-data.

Я на своем сервере делаю так. У каждого отдельного юзера есть свой php pool который работает от своего юзера + слушает сокет на 127* интерфейсе. Пример конфига /etc/php/7.0/fpm/pool.d/aliya.conf (юзер это aliya):

[aliya]
listen                 = 127.0.0.1:9041
listen.backlog         = 20
listen.allowed_clients = 127.0.0.1
catch_workers_output   = yes

user  = aliya
group = aliya

pm                   = dynamic
pm.min_spare_servers = 2
pm.max_spare_servers = 4
pm.start_servers     = 3
pm.max_children      = 5
pm.max_requests      = 50

env[HOSTNAME] = $HOSTNAME
env[PATH]     = /usr/local/bin:/usr/bin:/bin
env[TMP]      = /tmp
env[TMPDIR]   = /tmp
env[TEMP]     = /tmp

php_admin_value[display_errors]  = stderr
php_flag[display_startup_errors] = on
php_admin_flag[log_errors]       = on

php_admin_flag[mail.add_x_header] = on
php_admin_value[sendmail_path]    = /usr/sbin/mini_sendmail -t -f***@***a.ru
php_admin_value[mail.log]         = /var/www/aliya/data/log/mail.log

php_admin_value[memory_limit]      = 256M
php_admin_value[session.save_path] = /tmp

Comments

[Alexey Dmitriev]

а что насчет статики? сам виртуалхост nginx должен тоже в настройках иметь отдельного юзера и группу.

[Михаил Ливач]

Alexey Dmitriev, а для статики недостаточно чтения для всех? Всё равно она публичная

[Alexey Dmitriev]

Михаил Ливач, достаточно, но если задача стоит разделить сайты для разных пользователей - то нужно физическое разделение прав.

[Алексей Сундуков]

Alexey Dmitriev, что бы юзеры не лазили в чужие папки, то достаточно для корневую папку юзера (у меня это /var/www/ЮЗЕР поставить владельца как ЮЗЕР:nginx и права 0750. Веб сервер nginx при этом работает сам от себя, т.е. nginx:nginx. Какие при этом права на вложенных файлах и папках уже не важно. Вглубь это директории смогут пройти только ЮЗЕР, nginx и root.

[Алексей Сундуков]

Alexey Dmitriev, почему так работает я рассказывал тут https://youtu.be/EAfcMMlcNgg?t=521 как раз про вариант когда нужно юзеров физически разделить.

[wedytd]

Алексей Сундуков, у меня nginx работает от www-data сделал как вы сказали и ничего не поменялось

[Алексей Сундуков]

wedytd, а что должно было поменяться? Видимо где-то происходит ошибка доступа к файлам? Нужно привести больше конкретных деталей что бы дальше что-то советовать.

[wedytd]

Алексей Сундуков, Я думал нельзя будет ходить тогда в чужие папки. В директории /var/www у меня на всех папках стоит юзер и группа www-data кроме папки site на ней user:www-data но всё равно можно ходить в чужие папки сайтов на которых юзер и группа www-data

[Алексей Сундуков]

wedytd, разные юзера не могут ходить в папки других юзеров если на директории юзера указаны права 0750.

Допустим, у нас 2 юзера: user1 и user2. Для каждого их них есть своя папка в /var/www (т.е. /var/www/user1 и /var/www/user2). Если при этом на этих папках права 0750 и владельцы:
* /var/www/user1 владелец user1 и группа www-data (права 0750);
* /var/www/user2 владелец user2 и группа www-data (права 0750).

В это случае user1 не может ходить в /var/www/user2 вообще ни как, а nginx сможет. Если все именно так настроить, то именно так это и будет работать. Вариантов других нет.

[Михаил Ливач]

Алексей Сундуков, это не решает проблему, которую обозначил Alexey Dmitriev:

если задача стоит разделить сайты для разных пользователей - то нужно физическое разделение прав.

Поясню:
Ставим задачу так:
1) мы хотим, чтобы пользователь комфортно работал со своими файлами;
2) мы хотим, чтобы nginx мог читать файлы пользователя;
3) мы не хотим, чтобы другие пользователи могли быстро найти и прочитать чужие файлы ( даже публичные).

Тогда Ваш вариант не подходит:
1) чтобы пользователь комфортно работал с файлами, у него основной группой должна быть www-data;
2) если пользователь входит в эту группу, то он свободно читает чужие файлы.

Я подозреваю, что двухуровневая система ( /var/www/user1 , /var/www/user1/data ) в ISPManager создана как раз из-за этой проблемы

[Алексей Сундуков]

Михаил Ливач, подходит. На практике проверено не один раз. Двухуровневая система обычна нужна что бы пользователь сам не мог менять права на корневой директории. Еще бывает так делают из-за chroot.

Поясню почему такие работает. Внутри директории юзера он спокойно создает/удаляем/меняет файлы и директории. Они создаются от его имени и его группы, но nginx доступ к ним имеет (хоть его группы на файл и нет), т.к. типичный umask на уровне ОС это 022 и тогда директория/файл будут с правами 755/644. При этом другие пользователи файлы и папки читать не могут из-за прав 750 на корневой директории пользователя (подробнее в видео по ссылке выше).

Более того, есть более сложный кейс когда нужно дать права доступа нескольким юзерам (командная работа) и запретить всем остальным. И даже его можно решить стандартными средствами. Но приводить его не буду, т.к. для исходной задачи это излишняя сложность.

Answer 2

[Ипатьев]

Сделать шелл скрипт, который создаёт пользователя, папку, конфиг раздаёт права и всё что полагается. Не забываем добавлять www-data в группу пользователя.
Добавить этот шелл скрипт в /etc/sudoers c NOPASSWD и дергать через sudo из РНР.

Comments

[wedytd]

$user = $_POST['domain'];
$dir = "/var/www/example.com/{$user}";
mkdir($dir, 0755, true);
$text = "<meta charset='utf-8'/> Сайт успешно создан";
$fp = fopen("/var/www/example.com/{$user}/index.html", "w");
fwrite($fp, $text);
fclose($fp);

Сейчас у меня сделано так, как сделать то что вы сказали не совсем понимаю

[Ипатьев]

Не понял.
Вы же писали что создаётся сайт?
А у вас здесь создаётся не сайт, а папочка на сайте.

Плюс у вас тут не создаётся пользователь. Какому пользователю вы хотите дать права на эту папку и зачем?

[wedytd]

Ипатьев, Смотрите у меня настроенно в нгинксе чтобы папка была сайтом (поддомены на лету)

[Ипатьев]

Получается, что это поддомены а не сайты?
Тогда вообще нет смысла создавать папки, поддомены должны быть чисто виртуальными.

И в любом случае я не понимаю тогда вопроса, КАКОМУ пользователю вы хотите дать права на эту папку?

Answer 3

[Олег]

написать свой аналог ispmanager обойдется дороже чем купить лицензию.
Как вариант посмотрите опенсорсные продукты.
А чтобы написать, то что Вы хотите. Сперва надо научиться это делать
через консоль дебиана.
Потом соберете все в один скрипт с параметрами
И уже последним шагом из пыха соберете нужную строку для запуска этого скрипта.