[Uneex] ядро

Gleb Smirnoff glebius на cell.sick.ru
Пт Окт 21 11:22:27 MSD 2005


On Thu, Oct 20, 2005 at 12:56:02PM +0400, lorgen wrote:
l> Задача в разграничении прав доступа. Необходимо поднять хостинг для своих внутренних нужд. Должно быть порядка 50 сайтов. Очень бы не хотелось, чтобы один пользователь смог прочитать скриптиком директорию другого пользователя, поэтому для каждого виртуального хоста создается группа и юзер, а пользователь apache входит во все пользовательские группы + SuExec при компиляции httpd.

Вообще это стандартная задача и у неё есть стандартное решение, которое
не требует ACL или огромного количества групп:

каждый хостящийся имеет уникальный uid и все хостящиеся имеют
один и тот же primary gid. Назовём его hosters. На домашний каталог
(в который входит DocumentRoot) каждого хостящегося выставляются права
705, owner - uid хостящегося, group - hosters. Пользователь apache
не принадлежит к hosters. Для каждого DocumentRoot настраивается suexec
на uid хостящегося.

-- 
Totus tuus, Glebius.
GLEBIUS-RIPN GLEB-RIPE


Подробная информация о списке рассылки Uneex