Как правильное разграничить прав доступа web-сервера?

Question

[Ваня Зюзгин]

Хочеться раз и навсегда разобраться в данном вопросе.

Есть связка nginx+php5-fpm+mysql. Сайты лежат в /var/www:
/var/www/site1
/var/www/site2
...

Есть разработчик (логин developer), имеющий доступ к файловой системе всех сайтов через ssh. Наполнение сайтов происходит через админки.

В большей части инструкций по установке веб-сервров, которые можно найти в Интернете, пишется, что на /var/www нужно ставить владельца www-data, хотя зачем они ему нужны?

Как правильно, а главное безопасно разграничить права?

Answer 1

[brutal_lobster]

Владелец www-data лишь обеспечивает доступ к файлам всем, кто выполняется под этим юзером или состоит в этой группе - nginx, php-fpm...

Между кем и зачем вы собрались разграничивать права? Разработчик у вас один, веб-сервер тоже один.

Но вы можете настроить отдельные php-fpm-пулы, чтобы как-то попытаться изолировать сайты друг от друга.

Comments

[Ваня Зюзгин]

В целях безопасности

[brutal_lobster]

Нет такой цели. Это безопасность ради безопасности :)

Я к тому, что нужно определиться, от чего вы хотите защищаться и надо ли вам от этого защищаться - только после этого ставить вопрос о том, как именно это делать.

Что вы понимаете под разграничить права? Речь идёт об изоляции сайтов друг от друга или вы что-то другое имеете ввиду?

[brutal_lobster]

В любом случае на первом месте будут стоять мониторинг и appsec. Посмотрите на OWASP.

А с точки зрения прав доступа к файлам вы можете ограничить www-data по чтению и выполнению и сделать чрут для пулов php-fpm.

Еще лучше - используйте контейнеры, а-ля lxc.