А разве указание root ждля каждого домена не решит эту проблему?
-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Колхозный хостинг или сколько памяти ест один инстанс nginx-а?
- Автор темы Фанат
- Дата начала
не должно - воркер nginx не под рутом работает
для статики
а статика не public?
через sftp ты заливаешь файлы, они оказываются под некоторым юзером, и в какой-то группе,
если все файлы всех юзеров пишутся под одной общей группой, то из php можно переписать все файлы всех юзеров - это достаточно распространенная уязвимость шареных хостингов
можно, конечно, поиграть с пермиссиями, настроить sftpd, чтобы файлы писались в общей группе, но с пермиссией 744, а папки с 755, тогда у всех будет доступ к чужим папкам и файлам только на чтение, в том числе и конфигов с паролями к базам, и рассказать юзерам, что конфигам нужно выставлять 700, а мы все на это забиваем, и оно как-бы и сделано, но как-бы и не до конца
Тут проблема не в самом нжинксе, а задачке типа козла лодки и капусты.
То есть раздать всем права так, чтобы нжинкс видел всех, а все друг друга не видели.
причем всякие искусственные ограничения это по определению паллиатив.
sftp закроет для шелла, но не для пхп. open_basedir закроет для пхп, но юзер может залить утилитку на баше - и так далее.
Хочется сделать чисто нативными пермишенами
Последнее редактирование:
чето вы оба путаете. @WMix правильно говорит. Пользователи user1, user2 состоят в www-data, которая для нджинкса. У них есть /www/user1, /www/user2, которые их домашние каталоги для фтп/сфтп - они принадлежат этим пользователям, права у группы нет на эти папки. В нджинксе в файлах конкретных хостов, напр user1.site.com указан документ рут через /www/user1/public - на эту папку у www-data есть право на чтение.
Но для них для каждых нужно fpm пул заводить под разными пользователями user1 и user2, чтоб они не могли из под фпм-пользователя просто файловыми функциями сходить к соседу из под общего пользователя.
Но для них для каждых нужно fpm пул заводить под разными пользователями user1 и user2, чтоб они не могли из под фпм-пользователя просто файловыми функциями сходить к соседу из под общего пользователя.
или вернуться к старикашке оппачу? я так понимаю что с Worker MPM он по производительности не сильно должен уступать нужниксу...
у него хотя бы внятная интрукция есть, как это сделать https://github.com/dcmorton/apache24-ubuntu/blob/master/debian/README.multiple-instances
тупо копированием /etc/apache2 to /etc/apache2-xxx, гы гы
у него хотя бы внятная интрукция есть, как это сделать https://github.com/dcmorton/apache24-ubuntu/blob/master/debian/README.multiple-instances
тупо копированием /etc/apache2 to /etc/apache2-xxx, гы гы
на мой взгляд это противоречит
если у группы (www-data) нет прав на эти папки, то как нжинкс в них зайдёт?
вообще я это всё умозрительно, последний раз с этим игрался нескольк лет назад и могу тупить.
но в свое время 403-й нахавался знатно, именно из-за пермишенов
пишешь по конфигу для юзера, в каждом из них меняешь "user www-data;" на своих юзеров и запускаешь несколько инстансов с конкретными конфигами
~$ nginx -c /path/to/config
в чем проблема-то?
ну вот да ещё есть чрут.
с одной стороны оно надёжнее чем мои пляски с бубном, поскольку сейчас любой юзер может гулять по всему серваку.
с другой - я не настолько прошаренный админ, чтобы взять и настроить чрут вот прям сходу. он меня всегда пугал, пробросом зависимостей и вообще
чрут - это вечная боль, лучше уж докер
прикольный хак, я не знал, что с acl можно обойти файловые пермиссии
Оппачки!
Я на него набредал в своих поисках, но не понял что это. Думал что это просто тот же чмод, вид в профиль.
В частности getfacl показывает тупо пермишены
А теперь вижу что это параллельная вселенная!
И это выглядит очень многообещающе!