Estou executando um servidor web do Ubuntu 16.04, com o Apache e o nginx instalados
Eu preciso de uma configuração em que certos diretórios (diry) estejam inacessíveis (sem permissões de leitura, gravação ou execução) para um determinado grupo de usuários (grupo x)
No entanto, o grupo x deve poder editar os arquivos de configuração do nginx e do apache
Atualmente o apache e o nginx são executados a partir de um usuário privilegiado, suspeito que os membros do grupo x possam editar os arquivos de configuração para ler o conteúdo do diretório, estou correto em pensar isso?
Se os serviços apache2 e nginx forem iniciados por um usuário sem privilégios - um membro do grupo x - isso garantirá que não há maneira possível de um membro do grupo x ler o conteúdo do diretório?
Existe alguma outra lacuna que eu deveria estar cansada de garantir que dir permaneça privada?
Editar: Após alguns testes, os usuários do grupo x podem editar o nginx.conf, configurando o usuário nginx para 'root', o que permite que o diretório seja exposto
Eu vejo duas soluções, certificando-se de que o processo de host do nginx é executado como não-raiz, o que criaria problemas ao ligar à porta 80 e 443
Ou apenas certifique-se de que o grupo x não possa editar diretamente o arquivo nginx.conf, talvez eu possa criar um programa que possa editar tudo que barra a propriedade 'user'
Minha resposta para isso seria criar dois grupos, de tal forma que o Grupo Y só teria acesso à dir Y, mas o Grupo X incluiria colocar os usuários mais privilegiados no Grupo Y e no Grupo X para que eles tivessem acesso efetivo a os dois diretórios em questão.