Permissões adequadas para duas equipes de desenvolvedores no servidor PHP5 Apache Linux

4

Eu esperava que alguém pudesse me apontar na direção certa sobre as permissões do Linux. Eu entendo como calcular quais permissões são, entender a metodologia por trás de alterá-las e posso lidar com o trabalho sujo, não tenho certeza de quais permissões devo dar para a segurança adequada.

Eu tenho desenvolvido a partir do root em um servidor Linux, com permissões definidas para 644 em todos os arquivos (localizados em / var / www). Como estou assumindo um novo desenvolvedor, gostaria de configurar usuários adequados e ainda ser capaz de editá-los. Eu não gostaria de usar o controle de versão neste momento. Parece-me que ao criar dois novos usuários (um para mim e outro para o novo desenvolvedor), adicionando-nos a um grupo dev comum e mudando todos os arquivos do grupo para esse grupo, eu poderia chmodar todos os arquivos em 664 e manter liberdade para editar.

Ao definir as permissões conforme descrito acima, meus arquivos ainda são permissões (relativamente) seguras?

Editar: Encontrou um ótimo recurso aqui para qualquer pessoa que esteja procurando no futuro.

    
por Whetstone 03.05.2011 / 18:51

3 respostas

3

Você deve criar um grupo "desenvolvedores" e adicionar você e o segundo cara a esses grupos. Cada usuário pode estar em vários grupos e cada grupo pode ter muitos usuários.

E então você faz um chgrp -R developers /var/www (-R significa "recursivo") e chmod -R 664 /var/www .

Ou alguma outra configuração .. por exemplo, você pode querer que o usuário "apache" esteja no mesmo grupo que os usuários ... sua escolha.

    
por 03.05.2011 / 20:54
2

Eu gosto de definir o bit pegajoso em diretórios onde várias pessoas irão lidar com os arquivos. Eu geralmente uso o controle de versão, mas em /usr/local/src eu vou chmod 1775 /usr/local/src . Dessa forma, as pessoas não poderão excluir arquivos que não criaram.

    
por 03.05.2011 / 20:47
2

Se você colocar o grupo sticky bit (02775 por exemplo) e definir o grupo do dir para o grupo em que ambos os usuários estiverem, todos os novos arquivos serão criados com o grupo do dir, não com o grupo principal de o usuário. Isso garantirá que todos os novos arquivos criados sejam acessíveis por todos os usuários apropriados, sem contar com umask (que você pode querer alterar para 002 para criar novos arquivos criados com 664).

    
por 04.05.2011 / 01:36