Michael Shigorin пишет:
On Tue, Sep 02, 2008 at 02:07:08PM +0400, Aleksey Avdeev wrote:Как вебмастеру его права, не давая ему root`а?Локальным рутом, разумеется. Организовав необходимые права на нужные каталоги.Имеем: 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны принадлежать root`у. 2. Не должно быть файлов открытых для записи всем пользователям.3. Желательно избежать наличия каталогов, открытых для записи всем пользователями.Совсем не так. Перечитай "Атрибуты файлов и каталогов": http://docs.altlinux.ru/alt/devel/ch01s03.htmlВ то же время для веб приложений (да и самих веб серверов) актуально следующие (считаем что webmaster -- пользователь отличный от root и имеющий обязанности вебмастера): 1. Есть файлы которые имеют права создавать/редактировать как вебсервер так и webmaster.Как правило, они принадлежат пользователю %вебсервер и группе %вебмастер, при этом запись разрешена и владельцу, и группе.
Это характерно для файлов созданных вебсервером в процессе работы. Если файл с такими правами содержится в пакете -- получаем противоречие со ссылкой приведённой выше (т. к. файлом владеет псевдопользователь).
2. Есть каталоги, содержимое которых имеют право менять как вебсервер так и webmaster.Аналогично (+sgid по надобности).
Аналогично нельзя: получаем каталог принадлежащий псевдопользователю (вебсерверу), что противоречит ссылке выше.
3. Есть файлы которые имеет право менять только webmaster,а читать -- webmaster и вебсервер, но не любой другой пользователь.Права вида 0460 тоже работают, вот только если владелец имеет доступ к каталогу, где лежит такой файл -- он в состоянии выдать себе право на запись.Я слабо представляю как это разрулить в полном объёмеНе стоит решать задачи, которые не стоят: можно намудрить ужасов на ровном месте.
Потому и нехочу связываться с ACL. -- С уважением. Алексей.
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
