Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony: 1

 

#1  2013-06-30 23:52:24

  piroaa - Nowy użytkownik

piroaa
Nowy użytkownik
Zarejestrowany: 2013-06-30

nginx + php-fpm + ftp i quota.

Dzień dobry.
Potrzebuję postawić serwer tak jak w opisie, w zasadzie wszystko mam już opracowane i nawet działa ale pewnie da się to zrobić lepiej/bezpieczniej dla tego piszę tutaj.
Założenia są takie :
mam kilku zwykłych userów oni mają dostęp do swojego wydzielonego folderu + quota dyskowa dla każdego.
Jest też kilku deweloperów oni mają dostęp do wszystkiego i wszędzie mogą majstrować wygląda to tak jak poniżej :

Kod:

            +---user1
            |
       / ---+---user2
            |
            +---user3

Użytkownicy ftp trzymani są w sql-u tak jest wygodniej poza tym nie trzeba grzebać w systemie żeby jakiegoś usera dodać, wszystko było by pięknie gdyby nie quota która potrzebuje userów/grup systemowych (pomijam wykorzystanie zfs jak dla mnie za bardzo eksperymentalne).
Obecnie wykombinowałem tak :
Dla każdego usera który ma mieć quote tworzę grupę dla katalogów user1, user2 ... ustawiam odpowiednią grupę oraz dorzucam guid, dzięki temu pliki tworzą się z odpowiednią grupą na potrzeby quoty. I tutaj gdyby nie deweloperzy z kolei mógł bym dla wirtualnych userów ustawić odpowiednią grupę ale jeśli deweloper dorzuci jakieś pliki do katalogu suera to quota się posypie. Na cały system plików z www wrzuciłem flagę nosuid, dzięki temu działa tyko tworzenie plików i katalogów z odpowiednią grupą a nie działa odpalanie skryptów na prawach grupy. Tak przynajmniej wynika z testów przeprowadzonych prze zemnie.
Nie mam pewności czy to 100% dobre rozwiązanie wszelkie poradniki piszą o wywalaniu suid i guid jako potencjalnie niebezpieczne, z drugiej strony na prawach owej grupy istnieje w systemie tylko kilka plików w katalogu ze stronami www.
Kolejna kwestia to uprawnienia do plików i katalogów ja dałem takie prawa 750 dla katalogów i 640 dla plików user zawsze jest www-data a grupa jak pisałem wyżej w zależności od użytkownika user1, user2 ...
Nginx i php działa na prawach www-data i tutaj mam wątpliwość czy php powinno mieć możliwość zapisu wszędzie i czy powinno działać na tym samym userze co www ?
Czy może bezpieczniej gdyby z poziomu php dało się pisać w wybranych podkatalogach.
No to chyba wszystkie moje wątpliwości.
Jeśli ktoś ma jakieś sugestie jak powinno się to lepiej rozwiązać będę wdzięczny.

Offline

 

 

Strony: 1

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)