Esta é uma pergunta de acompanhamento da minha anterior, mas senti que poderia ser mais baseada no Linux.
link
Na minha escola, temos um ambiente de servidor compartilhado com vários usuários e vários grupos.
Grupos relevantes:
students
daemon
(executa o apache)
Quero permitir que os alunos tenham acesso total aos arquivos que possuem e que não tenham acesso aos arquivos de outros alunos. Dois alunos diferentes não podem nem mesmo ver os arquivos uns dos outros.
Eu também quero que o apache possa ler e executar todos os arquivos dos alunos. Especificamente, quero que o apache possa ler um arquivo de senha de propriedade de cada aluno, também quero que o proprietário do arquivo de senha tenha acesso total a ele.
Pelo que entendi, a melhor maneira de fazer isso é alterar o proprietário do grupo do arquivo de senha para ser o apache.
Então, depois de ler isto,
link
parece que um simples chgrp resolveria isso.
Mas então eu me deparo com isso:
Você precisa ser o proprietário do (s) arquivo (s), bem como um membro do grupo de destino (ou raiz) para usar esta operação.
Assim, cada um dos alunos não faz parte do grupo daemon, eles não podem executar este comando.
Dando-lhes esse grupo seria inútil, pois eles seriam capazes de ver os arquivos de senhas de outros alunos também.
A partir do tópico anterior, verifiquei que as configurações de segurança atuais estão inválidas e agendei uma reunião com o administrador do sistema.
Mas ainda não sei o que devo pedir ao meu systemadmin para fazer.
Eu realmente não posso pedir a ele para alterar manualmente as permissões para cada arquivo de senha no servidor, os nomes de arquivos e locais são diferentes e muitos alunos ainda não estão configurados.
Permitir que os alunos tenham acesso total ao chgrp parece perigoso,
Minha inclinação parece pedir a ele que crie algum tipo de script que indique ao aluno um arquivo e, em seguida, execute o chgrp no lugar do aluno, dando assim à propriedade do grupo apache. Isso parece viável, mas também bastante complicado, pois ainda sou muito novo no Linux. Ele seria capaz de fazer algo assim facilmente?
Eu também considerei o ACL, mas minha linha de pensamento volta ao chgrp, dando aos estudantes acesso ao setacl parece perigoso.