@dfsaraev
Изучаю linux, немного html и css.

Раздельные пользователи для сайтов. Правильно ли я настроил nginx?

Добрый день!
Настраиваю собственный веб-сервер для сайтов, никаких панелей управления, только консоль.
Linux, Nginx, php-fpm, mysql

Большая часть сайтов - простые, на html, часть сайтов работают на различных cms. Все они уже работают, все ОК.
Есть необходимость перенести на этот же веб-сервер NEXTCLOUD, но тут же возникает и вопрос обеспечения безопасности...
Владелец каталогов сайтов - www-data
Nginx работает от имени - www-data
Сокет для сайтов - php7.3-fpm.sock

Правильно ли я поступил проделав следующее:
1. Добавил в систему пользователя www-cloud из группы www-cloud, без возможности авторизации (пароль не задан);
2. Назначил на каталог, в котором лежит nextcloud, владельцем www-cloud:www-cloud;
3. Создал новый пул php-fpm -> /etc/php/7.3/fpm/pool.d/www-cloud.conf в котором:
user = www-cloud
group = www-cloud
listen = /run/php/php7.3-fpm-cloud.sock
listen.owner = www-data
listen.group = www-data
4. в конфигурационном файле хоста указал новый сокет
fastcgi_pass unix:/var/run/php/php7.3-fpm-cloud.sock;

Работают сайты, разумеется, под разными пользователями mysql,
Этого достаточно для разделения сайтов по пользователям? Очень уж не хочется в случае взлома сайта "подарить" кому-то и файлы из nextcloud!

Буду крайне признателен за советы!
Спасибо!
  • Вопрос задан
  • 209 просмотров
Решения вопроса 1
shambler81
@shambler81 Куратор тега Linux
не не достаточно. В таком раскладе получается что если вирус поразит один из сайтов то ему хватит прав заразить и остальные.
я разделяю все сайты даже одного клиента на разных владельцев и групп.
В таком раскладе исключается даже теоретическая возможность поражения 1 вирусом двух сайтов ( в смысле через один доступ)
А так же некоторым сайтам требуется разная версия окружения, от версии php до вида его представления. И даже веб сервера на котором это счастье болтаетя. именно по этому рекомендую вам все-же использовать панели
Поскольку они хорошо убирают человеческий фактор из управления.
Если же вам хочется поковыряться и разобраться то вам идеально подойдет ispconfig3 ( чем и и пользую) ( установка по ману)
оч удобно.

Если же не хочется паритьс но чтоб все работало то
Bitrix VM - подойдет для любых сайтов ставится с 1 скрипта
vestacp - ставится с 1 скрипта, при инсталяции есть выбор варианта сборки, так же в 1 скрипт.
braynicp - дохрена умеет, реально дохрена неудобоный интерфейс проприетарная лицензия (но бесплатная). Но сап адекватный.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@vitaly_il1
DevOps Consulting
Дополнительно стоит настроить чтобы директории nextcloud были недоступны для остальных пользователей вебсайтов.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы