Я пишу сайты и загружаю их на сервер через SFTP. В качестве Web-сервера использую NGINX.После этого возникает дилемма с доступом: если владелец пользователь SFTP, то я не могу администрировать сайт (например ставить на него обновления), а если владелец www-data, не могу записывать файлы в каталог по протоколу SFTP. Получается так, что если нужно поставить обновления, я вынужден писать команду:
chown -R www-data:www-data /var/www/site.ru
, а после обратно менять права как было.Возможно ли найти компромисс, чтобы можно было и записывать файлы в каталог, и обновлять сайт? Я понимаю, что проблема здесь в правах, но какие именно права необходимо выставить для оптимальной безопасности сайта/сервера и этих возможностей? может вовсе существует другой метод решения этой проблемы?
> Возможно ли найти компромисс, чтобы можно было и записывать файлы в каталог,Тысячи их...
Например
vi nginx.conf
#user nginx;
user ftpuser;wq
nginx -t
nginx -s reload
>> Возможно ли найти компромисс, чтобы можно было и записывать файлы в каталог,
> Тысячи их...
> Например
> vi nginx.conf
> #user nginx;
> user ftpuser;
> wq
> nginx -t
> nginx -s reloadУ меня несколько сайтов, работающих на NGINX, и у каждого сайта свой владелец, поэтому простая замена пользователя мне не подходит.
> У меня несколько сайтов, работающих на NGINX, и у каждого сайта свой
> владелец, поэтому простая замена пользователя мне не подходит.От те раз, тогда "непростая" замена, наверное, тоже не подойдет, т.к. ХЗ какие там еще у тебя "скрытые комиссии".
Гугл в помощь. Совет с "простой заменой пользователя" согласно опубликованному ТЗ я нашел секунды за три, у тебя, вероятно, уйдет немного больше времени на учет всех твоих нюансов.
>> У меня несколько сайтов, работающих на NGINX, и у каждого сайта свой
>> владелец, поэтому простая замена пользователя мне не подходит.
> От те раз, тогда "непростая" замена, наверное, тоже не подойдет, т.к. ХЗ
> какие там еще у тебя "скрытые комиссии".
> Гугл в помощь. Совет с "простой заменой пользователя" согласно опубликованному ТЗ я
> нашел секунды за три, у тебя, вероятно, уйдет немного больше времени
> на учет всех твоих нюансов.Это единственный нюанс, с которым я не могу справиться, поэтому я и задал вопрос на форуме. Вашу фразу можно применить на каждом сайте, якобы "зачем создавать форумы, если есть Google?"
Я уже неделю пытаюсь найти решение, перечитал кучу статей, много чего перепробовал на сервере, но всё безуспешно, оптимального решения не нашёл.
Оптимальный вариант это перестать строить из себя админа и заплатить за работу специалисту.
> Оптимальный вариант это перестать строить из себя админа и заплатить за работу
> специалисту.Я никого из себя не строю, просто пришёл сюда за помощью. Нельзя стать специалистом, не столкнувшись с кучей проблем. Если не знаете решения, можно было просто не отвечать. Не нужно засирать другого человека, этим Вы лишь показываете свою некомпетентность.
> Я никого из себя не строю, просто пришёл сюда за помощью. Нельзя
> стать специалистом, не столкнувшись с кучей проблем. Если не знаете решения,Хочешь стать специалистом - прежде всего усвой азбучные истины. Твой вопрос, о правах доступа, пользователях и группах, как раз из такой категории. Это как дважды два в арифметике. И если ты говоришь, что прочитал множество статей, и не нашел ответа на этот вопрос - извини, но ты просто ищешь дурака, который сделает за тебя твою работу. Потому тебя и послали в гугл.
>> Я никого из себя не строю, просто пришёл сюда за помощью. Нельзя
>> стать специалистом, не столкнувшись с кучей проблем. Если не знаете решения,
> Хочешь стать специалистом - прежде всего усвой азбучные истины. Твой вопрос, о
> правах доступа, пользователях и группах, как раз из такой категории. Это
> как дважды два в арифметике. И если ты говоришь, что прочитал
> множество статей, и не нашел ответа на этот вопрос - извини,
> но ты просто ищешь дурака, который сделает за тебя твою работу.
> Потому тебя и послали в гугл.Не тебе учить людей азбучным истинам... Не можешь помочь- просто иди мимо...
> Не тебе учить людей азбучным истинам... Не можешь помочь- просто иди мимо...Вот и иди. Ты-то чему научил, тоже ссыль на гугль подкинул?
>> Не тебе учить людей азбучным истинам... Не можешь помочь- просто иди мимо...
> Вот и иди. Ты-то чему научил, тоже ссыль на гугль подкинул?Ссыль ссыле рознь :) Можно нахамить, выпендриться, обозвать человека, сказать общие фразы - как сделал тот аноном неугомонный, а можно дать конкретную поисковую фразу по которой по смыслу вопроса будут ответы.
Я дал как раз такую фразу. Человек просто не знал КАК спросить то что ему надо. Я сказал именно то что надо- как звучит та поисковая фраза по которой будет ответ.
Очевидно что демагогия анонима который все не угомониться, даже после того как уму намекнули что в общем он мог бы просто проигнорировать вопрос и идти по своим делам - его замечания о поисковике- абстрактны и не относятся к сути вопроса. Они бесполезны. В то время как мой ответ- именно тот ответ который приводит к конкретному результату. Ответу на поставленный вопрос. С примерами и точным алгоритмом действий.
>[оверквотинг удален]
> поисковую фразу по которой по смыслу вопроса будут ответы.
> Я дал как раз такую фразу. Человек просто не знал КАК спросить
> то что ему надо. Я сказал именно то что надо- как
> звучит та поисковая фраза по которой будет ответ.
> Очевидно что демагогия анонима который все не угомониться, даже после того как
> уму намекнули что в общем он мог бы просто проигнорировать вопрос
> и идти по своим делам - его замечания о поисковике- абстрактны
> и не относятся к сути вопроса. Они бесполезны. В то время
> как мой ответ- именно тот ответ который приводит к конкретному результату.
> Ответу на поставленный вопрос. С примерами и точным алгоритмом действий."Все животные равны, но некоторые животные равнее"(с)
Редкостное трепло. И ник под стать.
>[оверквотинг удален]
>> то что ему надо. Я сказал именно то что надо- как
>> звучит та поисковая фраза по которой будет ответ.
>> Очевидно что демагогия анонима который все не угомониться, даже после того как
>> уму намекнули что в общем он мог бы просто проигнорировать вопрос
>> и идти по своим делам - его замечания о поисковике- абстрактны
>> и не относятся к сути вопроса. Они бесполезны. В то время
>> как мой ответ- именно тот ответ который приводит к конкретному результату.
>> Ответу на поставленный вопрос. С примерами и точным алгоритмом действий.
> "Все животные равны, но некоторые животные равнее"(с)
> Редкостное трепло. И ник под стать.У анонимуса то? :)
Некоторые люди лучше понимают грубость и хамство чем простые, доходчивые мысли... Нам с такими действительно не по пути :)
> Некоторые люди лучше понимают грубость и хамство чем простые, доходчивые мысли... Нам
> с такими действительно не по пути :)А ты в курсе, что тут не твой личный бложек?
Вот и нечего строить из себя мудрого учителя. Ступай своим путем и не воняй.
> А ты в курсе, что тут не твой личный бложек?Да не обращай ты на него внимания. Это такой сорт людей, от Москвы до Владивостока на одной мошонке проползут, лишь бы последнее слово за собой оставить. Пусть распрягается, лично с меня не убудет.
>[оверквотинг удален]
>> то что ему надо. Я сказал именно то что надо- как
>> звучит та поисковая фраза по которой будет ответ.
>> Очевидно что демагогия анонима который все не угомониться, даже после того как
>> уму намекнули что в общем он мог бы просто проигнорировать вопрос
>> и идти по своим делам - его замечания о поисковике- абстрактны
>> и не относятся к сути вопроса. Они бесполезны. В то время
>> как мой ответ- именно тот ответ который приводит к конкретному результату.
>> Ответу на поставленный вопрос. С примерами и точным алгоритмом действий.
> "Все животные равны, но некоторые животные равнее"(с)
> Редкостное трепло. И ник под стать.Блин, ребята, ни линукс ни опенсорс не поле для таких баталий. Вы забыли? Это же все just for fun.
> Блин, ребята, ни линукс ни опенсорс не поле для таких баталий. Вы
> забыли? Это же все just for fun.Да бесят просто вот такие "познавшие истину". А поколупай его - и наружу лезет жирное и зеленое.
У модеров выходной, что ли, совсем мышей (троллей) не ловят? Снесите нафиг все комменты этого "учителя", да и прочие тоже. Единственно здравыми советами в теме были твои рекомендации ниже...
> И ник под стать.Ты бы за своим следил, и не использовал чужой.
> Ты бы за своим следил, и не использовал чужой...., a voice came suddenly from the latrine.
>>> У меня несколько сайтов, работающих на NGINX, и у каждого сайта свой
>>> владелец,
> Это единственный нюанс, с которым я не могу справиться,Если быть до конца откровенным, то свою проблему - в том виде, в котором ты ее описываешь - ты высосал из пальца.
У каждого сайта свой владелец - у тебя в системе пользователей www-data по числу сайтов, что ли, присутствует? Какой-то бред.
Есть, в конце концов, группы - они собственно для того и созданы, чтобы распространять общие разрешения на несколько пользователей. Неужели ни в одной статье из "кучи" тобой перечитанных не упоминалось, что есть пользователи и есть группы?
> якобы "зачем создавать форумы, если есть Google?"
Затем, что "поискать в гугле за другого", как и "консультация в мыле" - услуга платная.
> Есть, в конце концов, группы -То есть вы ответа на вопрос не знаете, и поэтому злитесь на себя, а срываете зло на того кто задал этот вопрос.
Вопрос то не вам задали. Идите мимо...
>> Есть, в конце концов, группы -
> То есть вы ответа на вопрос не знаете,Вообще-то я на вопрос ответил, но тебе, видать, корона мешает взгляд поднять к началу треда...
> Вопрос то не вам задали. Идите мимо...
Не, мне с тобой не по пути.
>>> Есть, в конце концов, группы -
>> То есть вы ответа на вопрос не знаете,
> Вообще-то я на вопрос ответил, но тебе, видать, корона мешает взгляд поднять
> к началу треда...
>> Вопрос то не вам задали. Идите мимо...
> Не, мне с тобой не по пути.Я тоже так думаю :)
>[оверквотинг удален]
> После этого возникает дилемма с доступом: если владелец пользователь SFTP, то я
> не могу администрировать сайт (например ставить на него обновления), а если
> владелец www-data, не могу записывать файлы в каталог по протоколу SFTP.
> Получается так, что если нужно поставить обновления, я вынужден писать команду:
> chown -R www-data:www-data /var/www/site.ru
> , а после обратно менять права как было.
> Возможно ли найти компромисс, чтобы можно было и записывать файлы в каталог,
> и обновлять сайт? Я понимаю, что проблема здесь в правах, но
> какие именно права необходимо выставить для оптимальной безопасности сайта/сервера и этих
> возможностей? может вовсе существует другой метод решения этой проблемы?chown -R sftp:www-data /var/www/site.ru
chmod -R g+w /var/www/site.ru
>[оверквотинг удален]
>> владелец www-data, не могу записывать файлы в каталог по протоколу SFTP.
>> Получается так, что если нужно поставить обновления, я вынужден писать команду:
>> chown -R www-data:www-data /var/www/site.ru
>> , а после обратно менять права как было.
>> Возможно ли найти компромисс, чтобы можно было и записывать файлы в каталог,
>> и обновлять сайт? Я понимаю, что проблема здесь в правах, но
>> какие именно права необходимо выставить для оптимальной безопасности сайта/сервера и этих
>> возможностей? может вовсе существует другой метод решения этой проблемы?
> chown -R sftp:www-data /var/www/site.ru
> chmod -R g+w /var/www/site.ruИли
chown -R www-data:www-data /var/www/site.ru
chmod -R g+w /var/www/site.ru
gpasswd -a sftp www-dataНо лучше всего в твоём случае задать пароль и хоум пользователю www-data и ходить по ftp под ним. Тогда у тебя не будет путаницы с вновь создоваемыми файлами.
>[оверквотинг удален]
>>> возможностей? может вовсе существует другой метод решения этой проблемы?
>> chown -R sftp:www-data /var/www/site.ru
>> chmod -R g+w /var/www/site.ru
> Или
> chown -R www-data:www-data /var/www/site.ru
> chmod -R g+w /var/www/site.ru
> gpasswd -a sftp www-data
> Но лучше всего в твоём случае задать пароль и хоум пользователю www-data
> и ходить по ftp под ним. Тогда у тебя не будет
> путаницы с вновь создоваемыми файлами.Вы дали мне сразу несколько полезных советов. Спасибо, всё получилось!
>[оверквотинг удален]
>> владелец www-data, не могу записывать файлы в каталог по протоколу SFTP.
>> Получается так, что если нужно поставить обновления, я вынужден писать команду:
>> chown -R www-data:www-data /var/www/site.ru
>> , а после обратно менять права как было.
>> Возможно ли найти компромисс, чтобы можно было и записывать файлы в каталог,
>> и обновлять сайт? Я понимаю, что проблема здесь в правах, но
>> какие именно права необходимо выставить для оптимальной безопасности сайта/сервера и этих
>> возможностей? может вовсе существует другой метод решения этой проблемы?
> chown -R sftp:www-data /var/www/site.ru
> chmod -R g+w /var/www/site.ruНо лучше всего в твоём случае задать пароль и хоум пользователю www-data и ходить по ftp под ним. Тогда у тебя не будет путаницы с вновь создоваемыми файлами.
>[оверквотинг удален]
> После этого возникает дилемма с доступом: если владелец пользователь SFTP, то я
> не могу администрировать сайт (например ставить на него обновления), а если
> владелец www-data, не могу записывать файлы в каталог по протоколу SFTP.
> Получается так, что если нужно поставить обновления, я вынужден писать команду:
> chown -R www-data:www-data /var/www/site.ru
> , а после обратно менять права как было.
> Возможно ли найти компромисс, чтобы можно было и записывать файлы в каталог,
> и обновлять сайт? Я понимаю, что проблема здесь в правах, но
> какие именно права необходимо выставить для оптимальной безопасности сайта/сервера и этих
> возможностей? может вовсе существует другой метод решения этой проблемы?вбить в поисковике "nginx запуск от разных пользователей"
>[оверквотинг удален]
>> не могу администрировать сайт (например ставить на него обновления), а если
>> владелец www-data, не могу записывать файлы в каталог по протоколу SFTP.
>> Получается так, что если нужно поставить обновления, я вынужден писать команду:
>> chown -R www-data:www-data /var/www/site.ru
>> , а после обратно менять права как было.
>> Возможно ли найти компромисс, чтобы можно было и записывать файлы в каталог,
>> и обновлять сайт? Я понимаю, что проблема здесь в правах, но
>> какие именно права необходимо выставить для оптимальной безопасности сайта/сервера и этих
>> возможностей? может вовсе существует другой метод решения этой проблемы?
> вбить в поисковике "nginx запуск от разных пользователей"Спасибо за пищу для размышления, сейчас почитаю.
90% проблем доступа в *ix решается так: "надо создать новую группу ...".очевидно, надо создать новую группу, добавить туда кого надо и дать группе какие надо права на директории и файлы в них.
> 90% проблем доступа в *ix решается так: "надо создать новую группу ...".
> очевидно, надо создать новую группу, добавить туда кого надо и дать группе
> какие надо права на директории и файлы в них.Вы уверены что проблема в правах на файлы и директории? Вы сами, когда нибудь подобную задачу решали на практике?
> Вы уверены что проблема в правах на файлы и директории?по описанию ТС - да. посмотрим что он ответит.
> Вы сами, когда нибудь подобную задачу решали на практике?
ой! не пугайте ежа обнаженным афедроном.
>> Вы уверены что проблема в правах на файлы и директории?
> по описанию ТС - да. посмотрим что он ответит.Он вероятно не знает о последствиях такого решения, а вы могли бы подумать.
Файлы заливаемые через sftp и через веб-интерфейс будут иметь разных пользователей. Это потенциальный выстрел себе в ногу. ну, пока не стрельнуло- может и сойдет.
Несмотря на то, что пользователи sftp не имеют доступа к каталогу соседа (вероятно)- активное содержимое их сайтов спокойно лазит и изменяет файлы в каталоге соседа.
>> Вы сами, когда нибудь подобную задачу решали на практике?
> ой! не пугайте ежа обнаженным афедроном.а стоило бы испугаться... :)
прекращайте фантазировать.
1) по условиям задачи, через веб-интерфейс файлы не заливаются.
2) по условиям задачи, никаких соседей нет.
3) но если это дерьмохостинг с соседями, то у юзера не будет прав на создание групп и никто никому не нагадит.
> прекращайте фантазировать.
> 1) по условиям задачи, через веб-интерфейс файлы не заливаются." я не могу администрировать сайт (например ставить на него обновления)," (с) ТС
Это и есть заливка файлов через веб интерфейс. Не ваших личных файлов, а файлов CMS. Ситуация банальна до невозможности. Если конечно вы сталкивались с администрированием CMS :)> 2) по условиям задачи, никаких соседей нет.
" у каждого сайта свой владелец," (с) ТС
> 3) но если это дерьмохостинг с соседями, то у юзера не будет
> прав на создание групп и никто никому не нагадит.Каждый (любой) сайт у него следуя предложенной (не моей :) рекомендации- выполняется в рамках ОДНОГО процесса, имеющего доступ ко всем подкаталогам всех сайтов. Это значит что два скрипта, хоть и принадлежать "разным сайтам" - имею по сути один и тот же набор прав над ВСЕМИ сайтами.. и могут произвольно лазить по чужим каталогам.
> Если конечно вы сталкивались с администрированием CMS :)хостинга для чужих не держал.
> " у каждого сайта свой владелец," (с) ТС
свинью-то я и не приметил.
тогда ответ такой: обратитесь в техподдержку своей помойки или
смените помойку на менее вонючую.