Как ограничить юзера в его домашней папке?

Question

[Desch]

За N-ое количество лет сформировалась привычная мне схема на веб-сервере, которая оставляла открытыми вопросы безопасности, и сейчас, когда придется впускать к себе сторонних юзеров, они стали критичными.

Связка NGINX + PHP5-FPM, пользователи базируются в /var/www/USER/SITE.
Владелец /var/www/USER - root. Всего внутри - USER. Все пользователи висят на разных пулах PHP-FPM. Обращение исключительно через SFTP, пользователи закрыты в свой папке через установку в sshd_config:

Subsystem sftp internal-sftp

Match group www-data
        ChrootDirectory %h
        X11Forwarding no
        AllowTcpForwarding no
        ForceCommand internal-sftp

Пример пула в PHP-FPM:

[USER]
user = USER
group = www-data
listen = 127.0.0.1:PORT
chdir = /var/www/USER/

1) Если залить r57shell, то ничего не мешает подняться выше своего уровня и заглядывать куда угодно. Как это исправить?
2) Некоторые из сайтов используют импровизированную PHP-библиотеку, лежащую в /var/www/libs, делая её Include в скриптах - как правильно организовать "общую библиотеку"? (догадываюсь, что при правильном ограничении пользователей, выше /var/www/USER они не смогут ничего заинклудить).

P.S. Найденные в сети варианты при любом виде шаманств и правке basedir приводили к File not found при исполнении *.php

Answer 1

[Андрей Буров]

; Chroot to this directory at the start. This value must be defined as an
; absolute path. When this value is not set, chroot is not used.
; Note: you can prefix with '$prefix' to chroot to the pool prefix or one
; of its subdirectories. If the pool prefix is not set, the global prefix
; will be used instead.
; Note: chrooting is a great security feature and should be used whenever 
;       possible. However, all PHP paths will be relative to the chroot
;       (error_log, sessions.save_path, ...).
; Default Value: not set
;chroot =

а /var/www/lib нужно положить каждому юзеру.

Comments

[Desch]

Если мы сейчас говорим о конфиге пула, то chroot в нем как раз приводил к выводу строчки "File not found" при обращении к PHP.

На stackoverflow видел шаманства с принудительным указанием всего (tmp-директория, basedir, etc) на / и правки параметров в fastcgi_param, но все варианты и у меня, и у участников треда приводили к тому же File not found.

[Desch]

Сейчас повторю процедуру и постараюсь больше подробностей дать.

[Андрей Буров]

Desch: However, all PHP paths will be relative to the chroot
; (error_log, sessions.save_path, ...).

[Desch]

Андрей Буров: Да, это видел. Все еще не могу настроить, но, похоже, кроме этого варианта и перемещения библиотеки в пространство каждого юзера - других действительно нет. Спасибо, отмечаю как ответ, ухожу искать ошибки у себя.

Answer 2

[D SH]

открываешь консоль
chmod 666 -R /YOU/DIR/HERE

Comments

[Андрей Буров]

За это сжигать на костре надо..

[D SH]

Андрей Буров: за место 666 нужные права уж

[Андрей Буров]

Денис Шелестов: у директорий и файлов должны быть разные права.