ข้อมูลเกี่ยวกับการอนุญาต linux


1

ฉันสร้างผู้ใช้และกลุ่มที่ชื่อเดียวกัน (lighttpd: lighttpd)

ตอนนี้ฉันต้องเริ่มเซิร์ฟเวอร์ไฟกับผู้ใช้เหล่านี้: กลุ่ม ... ตกลง

ตอนนี้ฉันได้เพิ่มเว็บไซต์ (vhost) เพื่อให้ทำงานด้วยไฟมันทำงานได้ดี แต่ฉันมีคำถามเกี่ยวกับสิทธิ์ สำหรับ vhost ฉันได้สร้างผู้ใช้คนอื่นแล้วฉันเพิ่มลงในกลุ่ม lighttpd

MyWebsite: lighttpd

ตอนนี้ถ้าฉันสร้าง vhost อื่น ๆ ฉันจะสร้างผู้ใช้ใหม่ แต่ถ้าพวกเขามีกลุ่มเดียวกันแต่ละโดเมนสามารถดูไฟล์ภายใน vhosts อื่นได้ฉันจะทำอย่างไรเพื่อบล็อกสิ่งนี้

เพราะถ้าฉันเปลี่ยนการอนุญาตในแต่ละ vhost ให้อนุญาตเฉพาะเจ้าของ (600) เพื่อดูไฟล์ ... ฉันคิดว่าฉันจะมีปัญหากับ lighttpd (ไม่สามารถอ่านหน้า)

ถ้าฉันใช้ 640 เจ้าของ vshots คนอื่น ๆ สามารถดูไฟล์ทั้งหมดเพราะพวกเขามีกลุ่มเดียวกัน

คุณช่วยบอกวิธีที่ดีที่สุดในการตั้งค่าการอนุญาตได้ไหม

คำตอบ:


0

ดูเหมือนว่าจะใช้งานได้:

  • สร้างผู้ใช้ / กลุ่มแยกสำหรับแต่ละไซต์ของคุณเช่น site1: site1
  • chown แต่ละไซต์สำหรับผู้ใช้และกลุ่มนี้มาก
  • ตั้งค่าการอนุญาตไดเรกทอรีเป็น rwxr-x --- และ rw-r ----- สำหรับไฟล์
  • เรียกใช้ lighttpd ภายใต้เช่น www-data: ผู้ใช้ / กลุ่ม www-data
  • เพิ่มกลุ่มไซต์ของคุณเป็นกลุ่มเสริมของผู้ใช้ www-data

ขั้นตอนสุดท้ายช่วยให้ผู้ใช้ www-data (และกระบวนการ lighttpd) สามารถเข้าถึงไฟล์ที่เป็นของเว็บไซต์ของคุณ ในทางกลับกันผู้ใช้เช่น site1 ไม่สามารถเข้าถึงเว็บไซต์อื่น ๆ ได้นั่นคือสิ่งที่คุณต้องการใช่ไหม

โปรดทราบว่าผู้ใช้ยังคงสามารถเข้าถึงไฟล์ที่เป็นของไซต์อื่น ๆ โดยใช้เช่น สคริปต์ php - ในขณะที่ lighttpd สามารถเข้าถึงไฟล์ vhost ใด ๆ ดังนั้น FastCGI php script สามารถวางไข่โดย lighttpd


ตกลงคำถามสองข้อเท่านั้น: 1. จะ "เพิ่มกลุ่มไซต์ของคุณเป็นกลุ่มเสริมของผู้ใช้ข้อมูล www" ได้อย่างไร? คุณสามารถให้ฉันเป็นตัวอย่างได้หรือไม่? ... ฉันรู้ว่าถ้าฉันเข้าใจคุณ 2. ฉันจะบล็อกสคริปต์ php เพื่ออ่านไฟล์ vhosts อื่น ๆ ได้อย่างไร? ขอบคุณ

คุณสามารถใช้ได้ adduser <login> <group> เพื่อเพิ่มผู้ใช้ในกลุ่ม (หรือกล่าวอีกนัยหนึ่งคือเพิ่มกลุ่มในรายการกลุ่มเสริมของผู้ใช้) หรือคุณสามารถแก้ไขด้วยตนเอง /etc/group/ ไฟล์ (ดู man 5 group ) แต่ฉันขอแนะนำอย่างยิ่งให้ใช้ adduser. ปัญหาที่สองนั้นยากกว่ามาก - ตัวแปล php ทำงานด้วยชุดการอนุญาตเดียวกันกับเว็บเซิร์ฟเวอร์

(ความคิดเห็นที่ส่งไปก่อนหน้าถูกตัดทอนโดยไม่ได้ตั้งใจ) ปัญหาที่สองนั้นยากกว่ามาก - ตัวแปล php ทำงานโดยใช้ชุดการอนุญาตเดียวกันกับเว็บเซิร์ฟเวอร์ หากต้องการเอาชนะสิ่งนี้คุณต้องจัดการกระบวนการ FastCGI แยกต่างหากสำหรับแต่ละไซต์ด้วยตนเอง แต่ฉันไม่เคยลองตั้งค่าตัวเองด้วย lighttpd
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.