Apache, www-data, права на файлы и директории?

Question

[excalibur]

На сервере есть директория /home/www/ в которой лежат директории с сайтами:


/home/www/site1.com — должен иметь полный доступ пользователь user1 и www-data;

/home/www/site2.com — должен иметь полный доступ пользователь user2 и www-data;

/home/www/site3.com — должен иметь полный доступ пользователь user3 и www-data;


где www-data — это apache2.


Какие группы и владельцев мне нужно выставлять на файлы и директории?


Апач для каждого сайта создает логи, т.е. текстовые файлы, куда записывает информацию, к примеру:

/home/www/site1.com/log/2013-05-15.txt.

Пользователи не должны видеть, что находится НЕ в их директориях.


Ну и нужно ли добавлять пользователей (user1-3, www-data) в другие группы?

Comments

[Eddy_Em]

А обязательно апач?
И нельзя ли использовать обычный ~/www? Если нужно не site/~user, можно настроить подмену имен: user.site -> site/~user.

[excalibur]

на одном сервере как ~/www, на других — как я написал в вопросе…

>можно настроить подмену имен: user.site -> site/~user.
Не хотелось бы ничего усложнять для себя…

Answer 1

[Николай Васильчук]

Добавьте www-data в группы user1, user2 и user3.
Владельцами каталогов сделайте user1, user2 и user3 соответственно.
Выставьте права 770.

Comments

[excalibur]

Для начала я хотел услышать ответ с этим содержимым.

т.е. для /home/www/site1.com будет группа и владелец user1:user1 и т.д.?

[Николай Васильчук]

Именно так.
Для /home/www/site1.com будет группа и владелец user1:user1, права 770.
Пользователь www-data должен быть в группе user1 чтобы он мог писать в этот каталог.

[excalibur]

user1 сможет видеть что в /home/www/site2.com? Т.е. он например загрузит какой-то просмотрщик файлов на пхп и будет лазить по ввсем директориям от имени www-data, поскольку php-файлы запускаются апачем. Такое возможно?

[Николай Васильчук]

Да, возможно. Если хотите полного разделения, то вам надо сделать так, чтобы апач для каждого пользователя работал от своего имени. К сожалению, как это сделать я не подскажу.

[excalibur]

И еще одно. В катлоге сайта есть папка с текстовыми логами, которые создает апач, т.е. для для папки «log» группа и владелец user1:use1, тогда как для log/2013_05_16.txt группа и владелец: www-data:www-data ну и аналогично для других директорий, к примеру той, где хранится кеш, который генерируется от имени www-data. Сможет ли пользователь user1 удалить файлы, которые создает www-data, т.е. которые под www-data:www-data? А за ответ и комментарии — спасибо!

[Николай Васильчук]

Вам проще сделать чтобы для user1 apache работал от имени user1. Это точно можно сделать каким-то модулем.

[Дмитрий Лебедев]

mkdir /var/www/$USERNAME/www
mkdir /var/www/$USERNAME/tmp
chmod -R 755 /var/www/$USERNAME/
chown -R $USERNAME:$USERNAME /var/www/$USERNAME/
chown root:root /var/www/$USERNAME

[Николай Васильчук]

k3NGuru, что за чушь?

[sledopit]

Anonym фича с разными пользователями впилена в apache-mpm-itk.

Answer 2

[Алексей Сундуков]

Чуть выше Anonym первоначально дал неправильный совет, но в комментариях сам же и указал в чем ошибка. sledopit предлагает правильный вариант, но для этого требуются права на сервер допускающие установку дополнительных модулей. Есть еще такой официальный модуль как suexec. Но если разговор про обычный шаред, то там такая задача в принципе не решаема (разве только если указанные модули уже там установлены).

Но лично я на своих серверах предпочитаю связку nginx+php-fpm+chroot. Для каждого сайта рабочие процессы запускаются с правами владельца сайта, допустим u1:u1. На корневой директории сайта стоит 0710 и u1:nginx, на папке log 0770/u1:nginx. На всех остальных файлах стоят права 0640/u1:u1, на папках 0711/u1:u1. Если файл публичный, то он должен относиться к группе nginx. Ни какой php одного сайта ни чего не может прочесть в файлах другого.

Comments

[excalibur]

Это довольно интересно, спасибо!

Сервер свой, т.е. выделенный, могу там устанавливать все, что нужно, главное чтобы дополнительно ничего для себя не усложнять.

[excalibur]

Мне не совсем ясно нужно ли добавлять пользователя nginx в группу u1, а пользователя u1 в группу nginx? Может ли пользователь u1 редактировать/удалять файлы созданные пользователем nginx, логи, к примеру, или кеш-файлы. Может ли пользователь nginx редактировать файлы пользователя u1, например, я загружаю директорию логов с локального сервера, тогда все логи будут под u1:u1?

[Алексей Сундуков]

1) Нет, не нужно.
2) Можно настроить, что сможет. Но если этого не требуется, то на log директории нужно ставить 0570/u1:nginx, а на сами лог/кэш файлы 0460/u1:nginx. Тогда u1 сможет получить листинг log директории и прочесть из ней файлы, но изменить их или отредактировать не сможет.
3) Аналогично п.2, хотя в целом вопрос мне не очень понятен. Если файла загруются по ftp с правами u1, то и файлы в этом случае будут принадлежать ему. Какая маска прав будет использоваться зависит от установленной umask (чаще всего это 022, и получаются права 0660 и nginx не сможет их редактировать).

Answer 3

[arbuzmaster]

открываем консоль, пишем
su
пароль- вводим пароль root
cd /
cd home/
chmod -R 770 www
cd www/
chown -R user1:www-data site1.com
chown -R user2:www-data site2.com
chown -R user3:www-data site2.com

Comments

[Python]

Спасибо то что искал)))

[Сергей Бурдужа]

Почему не могу открыть сайт, после проделанных описаных вами действий, выводится

You don't have permission to access /06/ on this server.

Answer 4

[sledopit]

Посмотрите на apache-mpm-itk.
Оно позволяет запускать каждый вирт хост от отдельного пользователя, определяемого в конфиге без приседания с setfacl, общими группами и т.д.

Comments

[excalibur]

ок, спасибо, посмотрю. Нужно ожыдать дополнительную нагрузку на сервер со стороны apache-mpm-itk?

[sledopit]

Нет.

[Валентин]

Да, только этот mpm не совсем работает. Например, буквально на той неделе поднимал wsgi + django — не работает. Находил на проекте тикет по этой баге.

[sledopit]

Ну apache для django — странный выбор. И с php оно работает без проблем.

[d3ZORg]

Очень даже хорошо работает в высоконагруженном проекте на php.

[Chvalov]

sledopit есть ли что-то подобное для nginx ?

Answer 5

[truekenny]

Для php есть параметр конфигурации open_basedir, который позволяет ограничить доступ скриптам внутри определенных директорий.

Answer 6

[Seo5]

для apache полный мануал https://saitsozdanie.ru/sisadmin/ustanovka-prav-po...