Как сделать, чтобы пользователь www-data имел доступ ко всему, что создаёт пользователь git?

Question

[accountnujen]

У меня установлен git. Я с компьютера редактирую файлы, а затем делаю

git add .
git commit -m "fromlocal"
git push origin master:master
pause

чтобы файлы оказались на сервере.

Всё хорошо до момента, папка я не создам папку и отправлю её на сервер. В данном случае есть папка video2, созданная на моём компьютере и отправленная через git. Если я захочу выполнить PHP скрипт, который записывает что-то в эту папку, то получу ошибку:

Warning: file_put_contents(video2/2.dav): Failed to open stream: Permission denied

Если я сделаю chown -R www-data /var/www, то ошибка уйдёт до того момента, пока я снова не грузану на сервер новую папку.

ChatGPT предложил добавить пользователя www-data в группу git. После этого я потерял доступ к ssh у пользователя git. Когда удалил его из группы - всё вернулось.

$ groups git
git : git www-data
$ groups www-data
www-data : www-data
$ ls -l /var/www/web/cam
total 44
-rw-rw-r-- 1 www-data git 20340 Mar 21 16:07 engine.php
-rw-rw-r-- 1 www-data git    47 Mar 21 02:04 index.php
-rw-rw-r-- 1 www-data git   821 Mar 21 04:57 mjpg.php
-rw-rw-r-- 1 www-data git   276 Mar 21 15:37 test.php
drwxrwxr-x 2 www-data git  4096 Mar 21 15:49 video
drwxrwxr-x 2 git      git  4096 Mar 21 16:43 video2
-rw-rw-r-- 1 www-data git   385 Mar 21 02:10 webapp.php

Comments

[Valentin Barbolin]

https://stackoverflow.com/questions/4185400/is-the...

[Виктор]

git push origin master:master
чтобы файлы оказались на сервере

чего-то не хватает, так файлы только в репозиторий попадут

[accountnujen]

vhood, предварительно я сделал на компьютере git clone ssh://.... У меня всё работает. Код выше - это батник, который я запускаю, чтобы синхронизировать файлы.

[accountnujen]

Valentin Barbolin,

for file in $files
do
  sudo chown $OWNER $file
  sudo chmod $PERMISSION $file
done

ну костыль какой-то. Есть ощущение, что можно иначе

[Виктор]

accountnujen, раз обновление происходит командой git clone (или git pull, скорее), можно написать скрипт, который запустить эту команду и затем изменит права.
Дешево и сердито, как говорится.

[accountnujen]

vhood,

раз обновление происходит командой git clone (или git pull, скорее)

нет. обновление происходит командой

git add .
git commit -m "fromlocal"
git push origin master:master
pause

больше ничего на компьютере я не делаю. В самом начале я один раз сделал git clone, чтобы создать у себя папку .git.

На сервере я сделал:

git init
git config --global init.defaultBranch master
git config --global --add safe.directory /var/www/web
git config --global user.email "you@example.com"
git config --global user.name "CLOUDSERVER"
git config --local receive.denyCurrentBranch updateInstead

[Виктор]

accountnujen, git push заливает код в репозиторий, как этот код появляется из репозитория на сервере (или где там)? Там CI/CD, о котором никто не знает?)

[accountnujen]

vhood, сервер и есть репозиторий.

[Виктор]

accountnujen, странное решение, но в таком случае действительно лучше использовать хук, если не переделывать весь процесс

Answer 1

[ValdikSS]

Вариантов множество.
Можете воспользоваться Posix ACL, добавив пользователю www-data права на чтение и запись рекурсивно.
Можете наоборот, добавить пользователю git права на запись нужной директории, а user и group у неё останутся www-data.
Можно сделать git hook, который при pull будет менять права необходимым образом.

В любом случае, судя по ошибке, у вас php выполняется от пользователя www-data, что небезопасно. Лучше создайте отдельного пользователя под этот проект, запускайте и git, и php из-под него.

Comments

[accountnujen]

у вас php выполняется от пользователя www-data, что небезопасно.

можете привести пример, что злоумышленник может сделать в данном случае?

[accountnujen]

Можете воспользоваться Posix ACL

сделал:
setfacl -m u:www-data:rwx /var/www
результат не дало

Можете наоборот, добавить пользователю git права на запись нужной директории

сайты открывать, файлы сохранять и скрипты выполнять от имени git? Или я не понял?

[ValdikSS]

accountnujen,

можете привести пример, что злоумышленник может сделать в данном случае?

В вашей текущей конфигурации, если предположить, что все процессы выполняются от www-data (и веб-сервер, и все php), взлом любого из сайтов на сервере даст возможность злоумышленнику читать и изменять любые файлы любого сайта на вашем севере.

При корректной настройке злоумышленник получает доступ максимум к файлам одного сайта, при грамотной — только возможность чтения скриптов, без модификации, и также без возможности чтения статичных файлов.

[Анна С.]

А, если сделать подобную схему с пользователями (без ACL):
- пользователь dev-php, под которым крутится php;
- пользователь www-data (nginx);
- пользователь dev - владелец.
Пользователя dev при этом включить в группы dev_php + www-data и поднять права на папки/файлы с 644 => 664 для файлов и 755=>775для директорий и установить их дефолтными для dev ( umask 002 в /home/dev/.bashrc).
Это даст возможность пользователю dev работать из-под гита и писать в директории, закрепленные за php, тк он принадлежит группе dev-php.

[accountnujen]

Анна С., вы бы не могли это расписать командами?