Как лучше организовать sftp доступ к веб-серверу?

Question

[Владислав Росс]

Дано: веб-сервер apache, файлы сайта принадлежат apache:apache, права в основном 0755.

Под каким пользователем лучше заходить по sftp?

Создать нового пользователя, поместить его в группу apache, сменить права доступа на 0775 и сменить umask?
Или изменить пользователя apache: добавить ему пароль и shell и заходить под ним?
Или какой-то более разумный вариант есть? Как лучше?

Answer 1

[Алексей Сундуков]

Предположу, что используется PHP. Устанавливаем php-fpm и запускаем его его от требуемого пользователя. Это же юзеру даем и ssh. Как php-fpm так и ssh можно за-chroot-ить.

Можно и для apache делать рабочие процессы для каждого сайта из под своего юзера запускать. Но данный веб сервер очень давно не использую, деталей уже не припомню, но все есть в оф. документации.

Если сайт вообще один единственный (как-то на vps-е), то "пользователя apache: добавить ему пароль и shell и заходить под ним".

Comments

[egorinsk]

Это плохое решение. А если надо дать доступ нескольким разработикам? К тому же удобно, если бы php работал от другого пользователя и было видно, кто создал файл.

[Алексей Сундуков]

Если нужен доступ нескольким разработчикам, то все эта вариации схем идут лесом. Так как в этом случае нужно уже поднимать СУВ и деплоить на продакшен из билд-скрипта/репозитория.

Answer 2

[odmin4eg]

У меня сделано так
стоит apache-itk
настроен sftp доступ с chroot
Домашняя папка пользователя = домашней папке виртуалхоста, апач воспринимает те фалы что созданы пользователем, если кто-то другой чисто гипотетически что-то сделает в его папке апач этого не выпустит на ружу.

Comments

[Борис Сёмов]

> если кто-то другой чисто гипотетически что-то сделает в его папке апач этого не выпустит на ружу.
Это, простите, как? =)

[odmin4eg]

Это если файл созданный васей окажется в папки маши, то маша не сможет его изменить ни сама ни скриптами пхп

Answer 3

[marchelly]

Вот рабочее решение, в несколько копи-пейстов:
www.jamison.org/2010/12/04/how-to-configure-wordpress-for-automatic-ftps-updates-using-vsftp-in-ubuntu/
Да, оно для вордпресса, но это уже ни на что не влияет.

Answer 4

[Эргил Осин]

Про chroot чуть выше уже сказали
В /etc/ssh/sshd_config пишем что-то типа

Match User our-user ChrootDirectory /chroot AllowTCPForwarding no X11Forwarding no ForceCommand internal-sftp

у пользователя our-user ~ живет по адресу /chroot/our-user
в ней делаем директорию в которую мы хотим писать-читать
права на ~ делаем что-то типа our-user:www-data 6770
на нужном нам сервере монтируем по sshfs (sftp over fuse) конкретную директорию, а те кто попробуют вылезти далеко не уйдут ибо чрут и зайти этот юзер не может, ибо ForceCommand.

Примерно так.
Дальше можно самому покопать, если что можете постучать ко мне.

Comments

[Эргил Осин]

сорри, тэг code что-то странное сделал

Match User ads
 ChrootDirectory /chroot
 AllowTCPForwarding no
 X11Forwarding no
 ForceCommand internal-sftp

[charon]

если на то пошло, то неплохо бы указать минимально допустимую версию OpenSSH, а то можно подумать, что это у всех уже работает

[Эргил Осин]

начиная с 5.0, если я правильно помню.
а тем кто держит старые версии OpenSSH на серверах, настолько старые, что там нет еще chroot`а делать нужно атата.
нет возможности сменить версию дистрибутива, сделайте свой репозиторий и обновляйте критически важные пакеты от себя, если поставщик уже забил на поддержку.

Answer 5

[voffkared]

Настроить sftp из под proftpd.
https://www.digitalocean.com/community/tutorials/h...
https://www.digitalocean.com/community/tutorials/h...
В процессе настройки:
DefaultRoot ~
Добавить нового пользователя в :apache с /bin/bash.

Если не соединяется то в конфиге proftpd проверить и добавить/закоментить:

UseFtpUsers off
# Set the user and group that the server normally runs at.
#User                           proftpd
#Group                          nogroup

Иначе смотреть в сторону selinux.