จะอนุญาตให้ apache เข้าถึงไฟล์ แต่ป้องกันไม่ให้ผู้อื่นดูไฟล์ได้อย่างไร?

ฉันมีหลายโฟลเดอร์พร้อมการติดตั้ง Magento

เช่น

www / magento1 www / magento2

ไฟล์ / โฟลเดอร์ทั้งหมดในนั้นเป็นของ root: magento1 และ root: magento2 ตามลำดับ

ฉันมี 3755 perms สำหรับโฟลเดอร์ทั้งหมด, 644 สำหรับไดเรกทอรีทั้งหมดเริ่มต้นด้วย ที่ป้องกันไม่ให้ใครนอกจากรูทจากการเขียนไปยังโฟลเดอร์หรือไฟล์ใด ๆ

จากนั้นฉันจะเพิ่มสิทธิ์การเขียนกลุ่มสำหรับโฟลเดอร์ / ไฟล์ devs ควรจะสามารถเขียนได้ เช่นพวกเขาไม่สามารถเขียนไปยังไฟล์หลัก แต่พวกเขาสามารถเขียนไปยังโมดูล / สกินที่ไม่ใช่หลัก

ไม่เป็นไร สิ่งเดียวที่ไม่ดีคือฉันไม่ต้องการให้พวกเขาสามารถอ่านชื่อผู้ใช้ / รหัสผ่านฐานข้อมูล mysql จาก magento1 / app / etc / local.xml ฉันไม่ต้องการให้พวกเขาเข้าถึงฐานข้อมูลที่จัดเก็บข้อมูลที่ละเอียดอ่อน ฉันยังไม่ต้องการโปรแกรมเมอร์โกงที่จะลบตารางหรือสิ่งที่มีคุณ

แต่ apache ต้องมีสิทธิ์อ่านเพื่อเข้าถึงไฟล์เดียวกัน

ต่อไปนี้เป็น "โซลูชัน" ที่ใช้งานไม่ได้: นำการอนุญาตการอ่านออกจากกลุ่ม แต่ให้สิทธิ์ไว้สำหรับผู้อื่น ทำไม? เพราะนั่นช่วยป้องกัน devs ไม่ให้อ่านจากแอพ / etc / local.xml แต่อนุญาตให้พวกเขาอ่านส่วนอื่น ๆ ทั้งหมดได้

ฉันจะทำอย่างไร

สมมติว่าภายใต้ Debian, apache จะทำงานเป็นผู้ใช้ www-data และ group www-data, การแก้ปัญหาคือ

chown www-data:www-data www/magento1/app/etc/local.xml
chmod 440 www/magento1/app/etc/local.xml

ผู้ใช้รูทสามารถอ่านและเขียนไฟล์ทั้งหมดได้เสมอ

สมมติว่า devs = นักพัฒนา ...

มีอะไรที่ไม่ได้อธิบายในวิธีที่ devs เข้าถึงระบบ - ssh? ftp?

ถ้าเป็นการเข้าถึงแบบ ftp เท่านั้นคุณสามารถแยกไฟล์ config ออกจากการแสดง / แสดงผ่าน ftp

หรือคุณอาจเรียกใช้ apache ภายใต้ชื่อผู้ใช้บางคน (โดยปกติแล้วจะมีการตั้งค่าให้ทำงานเป็นไม่มีใครบางครั้งเป็นบัญชีผู้ใช้ถือ) หากคุณอนุญาตให้ "ผู้อื่น" / "โลก" อ่านได้ทุกคนสามารถอ่านได้ ดังนั้นคุณจึงไปทางอื่น - ทำให้ผู้ใช้สามารถอ่านได้และตั้งค่าความเป็นเจ้าของผู้ใช้เป็นผู้ใช้ apache และปิดการเข้าถึงกลุ่มและอื่น ๆ ด้วยวิธีนี้ apache มีความสุขในการอ่านในขณะที่ไม่มีผู้ใช้คนอื่นสามารถ (บันทึกรูท) คุณอาจต้องเลียนแบบตัวคุณเองกับผู้ใช้นั้นหากคุณต้องการแทรกแซงไฟล์ เช่นsu - username