Как правильно расставить права на директорию сайта, чтобы удобно работать с ней локально?

Question

[Иван Антонов]

Уже не первую неделю мучаюсь с распределениями прав.
Использую связку nginx, php-fpm.

Хочется создать отдельную директорию с сайтом в которой я могу работать от домашнего пользователя и просматривать результат на локальной машине. Проблема в том что, если я создаю файл под своим пользователем, он выдает Permission denied при просмотре через браузер, если я передаю владение пользователю nginx, тогда я не могу редактировать этот файл. Назначить права на 776 мне кажется дикостью.

======== Опишу структуру ========

/etc/nginx/nginx.conf
Полностью стандартный, пользователь в нем стоит nginx.

/etc/nginx/conf.d/joomla.test.conf
Здесь у меня хост для локального домена joomla.test.

/etc/php-fpm.d/www.conf
Везде (в 4ёх местах) указал пользователя и группу nginx.

/etc/share/nginx/joomla.test
папка моего сайта
public_html - корень сайта
error.log, access.log - логи nginx

======== Конец структуре ========

Могу, указать пользователя Antonov:nginx с правами 750, и вроде как все работает, вот только не удобно контролировать права и SELinux метки (которые устанавливаются chcon). И всё равно иногда nginx ругается из-за того, что не может войти в какую либо из папок и для папок приходится делать 755, как будто там еще какой-то третий пользователь участвует (вроде root).
Как мне настроить права так, чтобы работая под своим пользователем Antonov:Antonov и не приходилось каждый раз менять режим, владельца и группу у файлов? Да и как вообще правильно распределить права? Возможно ли настроить так чтобы работало все при правах в 700?

Answer 1

[Алексей Сундуков]

Правильный вариант:
1) Отключить SELinux вообще.
2) Создать группу dev: sudo groupadd dev
2) Свести в группу dev пользователей nginx и Antonov (и вообще всех кому требуется доступ к этому поддереву файлов), как уже упомянул Yar Rick , командой:

sudo usermod -aG nginx dev
sudo usermod -aG Antonov dev

3) Рекурсивно сменить права на директории на 2775 и 664 для файлов командами:

sudo find /etc/share/nginx/joomla.test -type d -exec chmod 2775 {} \;
sudo find /etc/share/nginx/joomla.test -type f -exec chmod g+w {} \;

Почему именно 2775 можно посмотреть в видео: https://www.youtube.com/watch?v=EAfcMMlcNgg&t=704s
4) Уставить для nginx и php-fpm значение umask=002 (либо воспользоваться ACL и не зависеть от umask, пояснение в видео: https://youtu.be/gLMUCEiMFYA?t=365 ).

Возможно ли настроить так чтобы работало все при правах в 700?

Да, возможно. Но придется запускать nginx от Antonov и php-fpm запускать от Antonov. Но вообще 0700 большого смысла не имеет (хотя использовать на корневой папке 770 возможно).

Comments

[Иван Антонов]

Отключить SELinux вообще

А это не слишком? Как же "безопасность", всё таки linux на моей домашнем компе и я его часто использую не только для работы. Есть конструктивный ответ, почему стоит отключать SELinux?

Свести в группу dev пользователей nginx и Antonov

О, а я не знал, что так можно, что пользователь может принадлежать сразу нескольким группам. Я только вникаю в Linux. А группы в группы модно объединить?

Да, возможно. Но придется запускать nginx от Antonov и php-fpm запускать от Antonov

Я, кстати, пробовал. Но почему-то не работало, наверно из-за неправильного контекста у файлов.

[Алексей Сундуков]

А это не слишком?

Не слишком если нет понимание как это работает и как это настраивать. Моя практика показывает, что люди довольно плохо знакомы с этой темой и от этого получают массу проблем. И до SELinux системы работали и работали довольно неплохо при обслуживании их специалистами.

А группы в группы модно объединить?

Нет, нельзя.

Но почему-то не работало, наверно из-за неправильного контекста у файлов.

Не существует контекста у файлов. Нет такого понятия. Но есть SELinux который мог вмешаться в процесс классической схемы прав. Про классическую схему прав я уже привел видео. Стоит посмотреть его полностью.

Answer 2

[Yar Rick]

Можно добавить пользователя www-data в группу пользователя Antonov. Тогда веб-сервер сможет читать файлы, созданные пользователем Antonov.

sudo usermod -a -G Antonov www-data

Ну а папкам, куда может писать веб-сервер, дать права 777.

Answer 3

[Vitsliputsli]

Для локального использования (разработка/отладка), проще всего запускать Apache/nginx от пользователя под которым работаете.

Comments

[Иван Антонов]

т.е. без php-fpm?

[Vitsliputsli]

Это все имхо, на локалке проще Apache с модулем php. Если нужен nginx, то я неверно написал, не nginx, а все таки php-fpm запускать от пользователя. Второй вариант не пробовал, пользую первый и он избавил от кучи сложностей, которые не хочется решать для локальной машины.

Answer 4

[Александр Черных]

дополню Vitsliputsli
на проде нормально иметь права 755/644 или 750/640

Comments

[Иван Антонов]

а 775 норм? именно такие права нужны на те папки в которые должны загружаться файлы.

[Дмитрий Шицков]

Иван Антонов, 775 для прода не нормально. Зачем доступ группе?

[Александр Черных]

Иван Антонов, можно

[Иван Антонов]

Дмитрий Шицков, группа у меня nginx. А владелец мой домашний пользователь Antonov. 775 нужен, к примеру, на папку images в cms joomla, чтобы через медиа-менеджер можно было загружать картинки.

[Алексей Сундуков]

Дмитрий Шицков для прода это как раз нормально. Потому что в современно проекте может работать несколько подсистем и каждая от своего пользователя. Как пример - система автодеплоя на базе jenkins.