Как безопасно изолировать директорию с wordpress на Centos7?

Question

[RabotnikGosdepa]

Использую Centso7

Сайт находиться по пути: /var/www/mysite

Сделал пользователя ftpuser, но не могу ему дать эту папку

ftpuser:x:1002:1002::/var/www/mysite/:/bin/bash

после выполнения пишет No such file or directory

Сайт работает от apache:apache

Хочу сделать так, чтобы пользователь был заключен в эту папку и не мог выполнять php скрипты из вне.

Comments

[ТыжСисАдмин]

вывод sestatus
покажите

[RabotnikGosdepa]

ТыжСисАдмин,
SELinux status: disabled

Answer 1

[Станислав Бодро́в]

Как безопасно изолировать директорию с wordpress на Centos7?

1 cgroup
2 appmorp
3 selinux

Comments

[hx510b]

4. chroot
5. lxc
6. qemu/kvm

[Станислав Бодро́в]

4. chroot

да, сам хотел привести в пример эту технологию. По большому счёту, там хватит грамотного разделения прав на основе дискреционной модели.

5. lxc

топикстартеру достаточно стянуть подходящий образ wordpress и директорию, за которую трепещит, выставить во внешний volume. Правда, там надо ещё будет поженить этот образ с базой и вэб-сервером - стандартный винегрет на докере. Только там хватит грамотного разделения прав на основе дискреционной модели.

6. qemu/kvm

жесткач. Можно выставить директорию наружу из виртуалки. Думаю, топикстартеру хватит того груза от изучения cgroup.

Answer 2

[Владимир]

читайте про настройку suphp,
тогда каждый сайт будет запускать пхп от своего юзера и фтп настроеть этому же юзеру.
чтобы юзера разных сайтов не запускали друг у друга php - нужно правильно настроить права доступпа на файлы

Comments

[RabotnikGosdepa]

Не подскажите в чем моя ошибка?

ftpuser:x:1002:1002::/var/www/mysite/:/bin/bash

после выполнения пишет No such file or directory

Проверил, папка mysite есть по этому пути

[Владимир]

скорее всего все что есть в папке /var/www/mysite/ принадлежит пользователю apache
у пользователя ftpuser туда прав нету, чтобы это решить вам нужно реорганизовать то как у вас вебсервер apache запускает php.
Для этого вам нужно:
1 настроить и установить suphp
2 внести необходимые правки в виртуалхосты
3 настроить фтп с использованием новых пользователей.

Тогда у вас под каждый сайт будет свой пользователь, php скрипты выполняются от его имени и только в папке этого сайта, он владелец всех файлов этого сайта - онже используется для доступа по фтп

[RabotnikGosdepa]

У меня установлен apache + nginx + php-fpm

[Владимир]

php-fpm умеет выполнять php от имени разных польтзователей, вам осталось только настроить его и создать необходимых пользователей.

[RabotnikGosdepa]

Создал php файл c echo(exec("whoami")). Который выводит от имени кого запущен процесс, пишет apache

[RabotnikGosdepa]

все понял, в /etc/php-fpm.d надо было сменить пользователя:

; RPM: apache user chosen to provide access to the same directories as httpd
user = apache
; RPM: Keep a group allowed to write in log dir.
group = apache

Answer 3

[SergeySL]

1. Добавьте пользователя ftpuser в группу apache
2. Поставьте права на папку /var/www/mysite 775

Comments

[RabotnikGosdepa]

Уже часа 3 пытаюсь решить проблему. Сделал все 1 в 1 как в гайде prolinuxhub.com/configure-ftp-access-on-centos-7-a... и застрял на 5 пункте. No such file or directory

P.s. папка сайта /var/www/mysite/ (внутри index.php и все...)

[SergeySL]

RabotnikGosdepa, я как раз предложил Вам 6 и 7 пункты.