Можно ли группе www-data давать права на запись в директорию сайта?

Есть сайт на wordpress, в который нужно удаленно вносить изменения. Права на запись имеет пользователь www—data. Я добавил своего пользователя developer в группу www—data и дал этой группе права на запись в директорию сайта. Правильно ли это с точки зрения безопасности? Если нет, то как лучше организовать удаленное редактирование сайта?
  • Вопрос задан
  • 415 просмотров
Пригласить эксперта
Ответы на вопрос 2
ky0
@ky0 Куратор тега Nginx
Миллиардер, филантроп, патологический лгун
Это вполне нормально, особенно если ваша учётная запись достаточно защищена (сложный пароль/ключ, защита от брутфорса, ограничение на SSH-коннекты по IP и т. д). По меньшей мере - это не страшнее, чем эксплоит CMS, который вообще даст доступ со служебной учётной записью.
Ответ написан
Комментировать
PavelK
@PavelK
Обычно, от имени www-data работает сам сервер, точнее интерпретатор php (php-fpm, если Nginx) и давать этой группе и пользователю права на запись во все директории очень опрометчиво.

Я обычно владельцем файлов делаю конкретного пользователя, который может управлять всеми файлами, а группу оставляю www-data и устанавливаю ей права на запись только у тех папок, в которых действительно может происходить загрузка файлов и изменение файлов скриптами и в этих папках обязательно отключаю запуск скриптов (настройками Nginx). Только ещё umask 027 нужно сделать. Если несколько сайтов, то в случае nginx лучше будет для каждого сайта использовать отдельный пул php-fpm с отдельной группой пользователей только для этого сайта.

Но это только если нет возможности использовать ACL. Если есть - создаю отдельную группу для "разработчиков".
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы