Задать вопрос
@dfsaraev
Изучаю linux, немного html и css.

Раздельные пользователи для сайтов. Правильно ли я настроил nginx?

Добрый день!
Настраиваю собственный веб-сервер для сайтов, никаких панелей управления, только консоль.
Linux, Nginx, php-fpm, mysql

Большая часть сайтов - простые, на html, часть сайтов работают на различных cms. Все они уже работают, все ОК.
Есть необходимость перенести на этот же веб-сервер NEXTCLOUD, но тут же возникает и вопрос обеспечения безопасности...
Владелец каталогов сайтов - www-data
Nginx работает от имени - www-data
Сокет для сайтов - php7.3-fpm.sock

Правильно ли я поступил проделав следующее:
1. Добавил в систему пользователя www-cloud из группы www-cloud, без возможности авторизации (пароль не задан);
2. Назначил на каталог, в котором лежит nextcloud, владельцем www-cloud:www-cloud;
3. Создал новый пул php-fpm -> /etc/php/7.3/fpm/pool.d/www-cloud.conf в котором:
user = www-cloud
group = www-cloud
listen = /run/php/php7.3-fpm-cloud.sock
listen.owner = www-data
listen.group = www-data
4. в конфигурационном файле хоста указал новый сокет
fastcgi_pass unix:/var/run/php/php7.3-fpm-cloud.sock;

Работают сайты, разумеется, под разными пользователями mysql,
Этого достаточно для разделения сайтов по пользователям? Очень уж не хочется в случае взлома сайта "подарить" кому-то и файлы из nextcloud!

Буду крайне признателен за советы!
Спасибо!
  • Вопрос задан
  • 591 просмотр
Подписаться 1 Простой Комментировать
Решения вопроса 1
shambler81
@shambler81 Куратор тега Linux
не не достаточно. В таком раскладе получается что если вирус поразит один из сайтов то ему хватит прав заразить и остальные.
я разделяю все сайты даже одного клиента на разных владельцев и групп.
В таком раскладе исключается даже теоретическая возможность поражения 1 вирусом двух сайтов ( в смысле через один доступ)
А так же некоторым сайтам требуется разная версия окружения, от версии php до вида его представления. И даже веб сервера на котором это счастье болтаетя. именно по этому рекомендую вам все-же использовать панели
Поскольку они хорошо убирают человеческий фактор из управления.
Если же вам хочется поковыряться и разобраться то вам идеально подойдет ispconfig3 ( чем и и пользую) ( установка по ману)
оч удобно.

Если же не хочется паритьс но чтоб все работало то
Bitrix VM - подойдет для любых сайтов ставится с 1 скрипта
vestacp - ставится с 1 скрипта, при инсталяции есть выбор варианта сборки, так же в 1 скрипт.
braynicp - дохрена умеет, реально дохрена неудобоный интерфейс проприетарная лицензия (но бесплатная). Но сап адекватный.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@vitaly_il1
DevOps Consulting
Дополнительно стоит настроить чтобы директории nextcloud были недоступны для остальных пользователей вебсайтов.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы