Какие права дать, в какие группы включить пользователя для деплоя?

Question

[Вадим]

Добрый день.
Оформил я себе первый раз VPS. Вот надо завести юзера, что бы из гита пулить проекты.

Вопрос - надо ли его добавить в группу www-data или наоборот - пользователя www-data добавить в группу этого юзера?
Я так проверил - если на папки с кешем и логами дать полные права всем, то можно с группами и не мучится вроде как. Кто как делает? (проекты на symfony)

Answer 1

[dummyman]

Первым делом надо сменить порт ssh. Только надо не забыть добавить этот порт в фаэрвол перед тем, как применять настройки в силу.
Потом создаете пользователя, выключаете в конфиге sshd доступ root.
Остальные пользователи будут созданы софтом, которым они нужны. Не вижу смысла деления доступа на более мелкие роли, т.к. если кто-то получит несанкционированный доступ к одному из этих пользователей, он получит доступ всех остальных создных юзеров.
Обязательно, сгенерируйте пары ключей на клиенте и сервере, организуйте авторизацию ключами. - Крайне необходимая штука для деплоя. Потом можно выключить авторизацию по паролю.

Comments

[Вадим]

Спасибо за подробную инструкцию. Сейчас этим всем займусь.

[podavo]

Смена порта не помогает.
Этим уже давным-давно никого не удивишь.
У меня смененный порт на новом сервере - все также ломятся "хацкеры".

[Вадим]

Что то боюсь я порт менять. Кучу статей нарыл - нигде про файервол.
В одном месте про iptables есть. Но у меня таких файлов не нашлось в etc.

[dummyman]

podavo: podavo: Согласен. Сменой портов никого не удивишь. Но по левым портам долбят реже. Просканировать все порты серва - тоже не дешевая задача (одной сотней ip все порты не просканируешь). Видимо, вы хостите такой ресурс, цена взлома сервера которого оправдает затраты.
Не обязательно выбирать длинные рандомные порты. Вы можете назначить ssh, например, на порт imap, если не используете сервер в качестве почты. Сканеры просто подумают сломанный порт или что-нибудь еще и будут пропускать его. А отключив авторизацию по паролю, sshd вообще будет вести себя как будто на порту ничего нет, пока клиент не отправит правильно зашифрованный запрос приветствия.

[dummyman]

Вадим: Все приходит с опытом. Советую разобраться в теме. Лично я выбираю хостинг не там где дешевле клиенту, не там где лучшая партнерская программа, а там где мне удобнее и я привык. Я заказываю вдс скриптом, другим скриптом настрайвается все до полной боеготовности. Не буду делать рекламы хостера, я выбираю ОС centos 7, на моих vds по умолчанию фаэарвол и selinux отключен, я использую firewalld. Включаю firewalld, включаю selinux.

[Дмитрий Беляев]

dummyman: на centos проблемы с софтом нет? у них же ядро древнее...

[dummyman]

Дмитрий Беляев:

ядро древнее...

у меня аптайм у одного из серверов больше года.
Вы бы хотели сотни серверов на федоре с репами rawhide с обновлением ядра раз в три дня и ежедневным падением разных частей системы? Я не очень хочу. Centos сделана так - настроил и забыл. Неудивительно что ее сборщики выбираеют обкатанную годами версию ядра и устанавливает только обновления безопасности, никогда не обновляя мажорные версии пакетов. Соответственно и самих пакетов обкатанные годами версии.

[Дмитрий Беляев]

dummyman: я больше сторонник Debian или LTS версий Ubuntu - гораздо меньше головной боли... Ну и ядро 4+ дает больше простора в выборе софта/библиотек

[dummyman]

Дмитрий Беляев: в дебиане совсем недавно появился systemd. а я активно юзаю его с 2011 года. в сервер убунте последний раз смотрел, вроде не было. в 17 точно перешли на него. Кроме всего, я еще как-то привык к selinux еще со времен деплоя php-проектов. Вероятно, сейчас уже большой разницы нет, а тогда реально были касты. а десктопный дебиан меня бесил своим iceweasel.

[Дмитрий Беляев]

dummyman: ясно
В убунте systemd с 14.04 "из коробки" в дебиан ставится
Насчет selinux ничего сказать не могу ибо не знаю что за тулза
На десктопе давно на минте сижу, удобно мне
А вот от centos впечатления, что много софта не компилится ибо ядро 2.x правда это было года 2-3 назад, вот и решил поинтересоваться, может что изменилось

[dummyman]

Дмитрий Беляев: не, ничего толком не изменилось, nodejs из epel версии 0.10. Недавно развертывал еще две vds-ки, был приятно удивлен что в epel включили node 4.0. Да, версии всего-всего достаточно стабильные... Чего не хватает - собираешь вручную... Но, развернув раз, серваки не перезагружаешь годами, че тут говорить...

Ну а selinux - это не совсем тулза, это система безопасности redhat. Помимо обычных прав на папки/файлы каждые папки/файлы и процессы имеют свой "контекст", который определяет поведение этих процессов. И даже если процесс запущенный под этим пользователем имеет права на чтение/запись, selinux может пресечь незаконный дуступ, если поведение процесса будет не свойственно данной категории процессов.

[dummyman]

Дмитрий Беляев: В systemd есть киллер-фича - "активация по сокету". Представьте себе, включенный сервис веб-сервера, выключеный веб-сервер, активный сокет systemd сидит на занятом порту. Пользователь делает запрос по порту, systemd включает вебсервер, пользователь попользовался и ушел. Через 5 минут неактивности systemd выключает веб-сервер, чё гонять express понапрасну.
Кроме того в том же файле конфига .service можно указать отслеживать idle-режим - т.е. потерю цепочки eventloop, указать максимально потребляемые процессор и память - если процесс зациклился или слишком текучий, systemd даст ему пи..SIGTERM и запустит новый. Если пользователь в любое из этих ситуаций время обращаться по порту, сокет systemd подхватывает его и любые манипуляции с вебсервером для пользователя проходят прозрачно, как вебсервер будет готов, так и ответит, ошибку 502 не выкатит никогда.

[podavo]

dummyman:

Видимо, вы хостите такой ресурс, цена взлома сервера которого оправдает затраты.

Да нет же.
НОВЫЙ домен.
На НОВОМ VDS.

[podavo]

dummyman:

В systemd есть киллер-фича - "активация по сокету". Представьте себе, включенный сервис веб-сервера, выключеный веб-сервер, активный сокет systemd сидит на занятом порту.

Эта "киллер-фича" была во FreeBSD еще лет на 10 раньше рождения systemd.
И смысл в ней был как раз в те древние времена, когда хацкеров было мало и ресурсов тоже - не запускать не нужные вещи вполне в порядке вещей.
Сейчас хацкеры долбят постоянно. И эта ваша "киллер-фича" как раз не снимает нагрузку, а совсем наоборот

[dummyman]

podavo: я не утверждаю что этого идея systemd. Большинство идей и алгоритмов которые используются в последние годы и при этом не использовались 10 лет назад были разработаны в 70-80х годах, когда не было компьютеров с необходимыми мощностями для воспроизведения их. Тот же OpenSSL, PGP, blockchain.
Нужен ли вам Docker если есть chroot из BSD начала 90-х?
Зачем Vargant когда есть mock?
Зачем firewalld если есть iptables?
Людям удобно, они пользуются.

[dummyman]

podavo:

Да нет же.
НОВЫЙ домен.
На НОВОМ VDS.

Значит в дистрибутиве хостера в системе зашита стучалка, которая передает занятые порты. И вас пытается взломать представитель хостера. Просканировать порты настроенный по умолчанию firewalld не дает c одного ip после 5 попыток. Сколько потребуется ip чтобы просканировать все порты можно посчитать без калькулятора. Жалуйтесь сюда www.dnsbl.info/, на github есть автоматические скрипты.