Permissões para usuários do Apache e do FTPd

2

Eu gostaria de conselhos sobre permissões em diretórios e arquivos em um servidor web / ftp.

Aqui está minha situação:

Servidor Debian com esse usuário: group

  • userme:userme para SSH
  • www-data:www-data para apache / php
  • ftpuser:ftpgroup para pure-ftpd

Sistema de arquivos:

-[/srv/data_disk]
    -[Websites]
        -[site1.tld]
            -...
        -[site2.tld]
            -...
    -[Webapps]
        -[App1]
            -...
        -[App2]
            -...
        -config1.php
        -config1.php

Explicação:

  • Arquivos e diretórios em siteX.tld serão carregados pelo ftpuser.
  • Existe um subdiretório "upload" em siteX.tld , onde www-data poderá criar diretórios e gravar arquivos.
  • O Ftpuser deve poder excluir os arquivos criados por www-data .
  • Os diretórios AppX são criados por userme em ssh
  • eles devem ser lidos por www-data (com um diretório especial onde o apache deve ser capaz de criar / excluir arquivos)
  • E ser acessível por ftpuser no modo somente leitura (para fins de atualizações remotas)

O que eu pensei em fazer (mas preciso de confirmação de que é uma boa prática) é fazer:

  • ftpuser = > membro de ftpgroup AND www-data group
  • www-data = > membro de www-data group E ftpgroup AND userme group
  • userme = > membro de userme group AND www-data group

E então eu vou chmod da seguinte forma:

-[/srv/data_disk]      => userme:userme 700
    -[Websites]       
        -[site1.tld]    => ftpuser:ftpgroup 750
            -...       
                => ftp uploaded dirs/files = ftpuser:ftpgroup 750 
                => apache uploaded dirs/files = www-data:www-data 770 

    -[Webapps]      => userme:userme 750
        -[App1]      => userme:userme 755
            -...
                => ssh uploaded dirs/files = userme:userme 755 
                => apache created files = www-data:www-data 775 

Parece seguro para você? Ftpusers são chrooted assim como apache ...

    
por maigre 05.08.2011 / 17:10

0 respostas