LINUX.ORG.RU
ФорумAdmin

Права для доступа по ftp на web-хостинг


0

0

Как правильно и безопасно организовать права доступа на виртуальном хостинге с несколькими сайтами, web-каталоги которого доступны для юзеров по ftp?

Веб-каталоги и их файлы имеют такие права:

drwxr-xr-x 2 www-data www-data 4096 Ноя 11 01:15 htdocs -rw-r--r-- 1 www-data www-data 110 Ноя 11 01:15 index.html

Каталоги и файлы, созданные ftp-юзерами, имеют такие:

drwxr-xr-x 15 ftpuser ftpgroup 4096 Ноя 11 02:57 htdocs -rw-r--r-- 1 ftpuser ftpgroup 91 Ноя 11 02:02 htaccess.txt -rw-r--r-- 1 ftpuser ftpgroup 3898 Ноя 11 02:02 index.php

Права www-data нужны, чтобы пользователи могли, например, ставить cms-ки через web-интерфейс. Также права ftpuser нужны, чтобы эти же файлы web-каталогов можно было записывать/удалять/переименовывать через ftp-доступ.

Открой для себя fcgi и пускай php-шные процессы от юзеров. И каждому юзеру отдельный системный акаунт. Тогда и созданные скриптами и созданные по фтп файлы будут иметь овнером правильного пользователя.

Komintern ★★★★★
()

Недавно делал такое на ProFTP и MySQL, т.е. все пользователи хранились в базе, где у каждого пользователя были указаны uid и gid для работы ProFTP от имени www-data.

gruy ★★★★★
()
Ответ на: комментарий от gruy

> у каждого пользователя были указаны uid и gid для работы ProFTP от имени www-data.

в смысле, номера uid и gid виртуальных пользователей ftp были равны номерам пользователя www-data? Насколько это безопасно?

firstep
() автор топика
Ответ на: комментарий от firstep

>А как с производительностью? Не сильно упадет?

С fastcgi — должна только вырасти. В отличие от apache2-mpm-itk.

nnz ★★★★
()
Ответ на: комментарий от nnz

> А чрутать пользователей в их хомяки не пробовал?

Фтп-юзеров? У меня используется pureftpd в связке с mysql с виртуальными юзерами (делал по http://www.howtoforge.com/pureftpd_mysql_virtual_hosting). А реальный юзер ftp - один. Каждый виртуальный ftp-юзер чрутится в свой ftp-каталог и квотируется. Как я понял, такая система не совместима с тем, что предложил Komintern?

firstep
() автор топика
Ответ на: комментарий от firstep

а при чем тут ftp вообще к апачу и fcgi? все совместимо. когда пользователь заливает файлы в свой хомяк по фтп - он становится их овнером. а далее эти файлы могут выполняться с помощью php через fcgi. не вижу никаких проблем.

Komintern ★★★★★
()
Ответ на: комментарий от firstep

> в смысле, номера uid и gid виртуальных пользователей ftp были равны номерам пользователя www-data? Насколько это безопасно?

Для всех пользователей ftp их домашний каталог был корневым, т.е. в другие они видеть не могут. Остальные настройки, ограничивающие пользователей делал через опции php_admin_value.

gruy ★★★★★
()
Ответ на: комментарий от Komintern

> эти файлы могут выполняться с помощью php через fcgi

имеется в виду suphp? Я, извиняюсь, не очень пока это все различаю.

firstep
() автор топика
Ответ на: комментарий от firstep

>имеется в виду suphp? Я, извиняюсь, не очень пока это все различаю.

Нет, fastcgi вообще никак к апачу не относится.

nnz ★★★★
()
Ответ на: комментарий от firstep

>Каждый виртуальный ftp-юзер чрутится в свой ftp-каталог и квотируется.

Ну и что тебе еще для щастья нужно? Раз он чрутится в свой хомяк, значит, он не имеет доступа к хомякам других пользователей (если они не вложены в него, что было бы идиотизмом).

nnz ★★★★
()
Ответ на: комментарий от nnz

fastcgi вообще никак к апачу не относится.

ну для shared-хостинга апач это стандарт де-факто, так что если топикстартер хочет именно это, то лучше не кормить лошадь углем и не запрягать паровоз

Komintern ★★★★★
()
Ответ на: комментарий от nnz

> что тебе еще для щастья нужно?

безопасности хотелось бы )

Пользователь www-data имеет uid и gid номер 33, pureftpd по-умолчанию не пускает пользователей с uid-ами меньше 1024. Можно ли понизить группу пользователя, разрешенного для ftp-входа, с точки зрения безопасности?

firstep
() автор топика
Ответ на: комментарий от firstep

>безопасности хотелось бы )

А чрут типа небезопасно? Какие нахрен еще права, если юзер все равно никогда не увидит чужих файлов?

>Пользователь www-data имеет uid и gid номер 33, pureftpd по-умолчанию не пускает пользователей с uid-ами меньше 1024. Можно ли понизить группу пользователя, разрешенного для ftp-входа, с точки зрения безопасности?

Можно. Все равно /etc/ftpusers остается (UseFtpUsers yes).

nnz ★★★★
()
Ответ на: комментарий от nnz

Чрут не беспокоит. Беспокоит именно возможность входа по ftp с uid www-data, а также минимальный разрешенный uid 33 для pureftdp. Вдруг в нем дырки какие будут )

Кто-то где-то советовал, наоборот, повысить uid www-data, например, сделать его 2121, и такой же для ftp-юзера. Есть ли в этом смысл?

firstep
() автор топика
Ответ на: комментарий от firstep

по барабану какой uid.
но ничего вам его сменить не мешает, даже тупо отредактировав /etc/group с сделав chown

r0mik
()
Ответ на: комментарий от firstep

>Беспокоит именно возможность входа по ftp с uid www-data, а также минимальный разрешенный uid 33 для pureftdp

Лично я не вижу в этом ничего опасного. Главное, с uid 0 так не делай ;)

>Вдруг в нем дырки какие будут )

Если уж так беспокоит безопасность — юзай vsftpd. Ничего безопаснее для FTP-сервера пока не придумали.

nnz ★★★★
()
Ответ на: комментарий от firstep

>Кто-то где-то советовал, наоборот, повысить uid www-data, например, сделать его 2121, и такой же для ftp-юзера. Есть ли в этом смысл?

Хоть в лоб, хоть по лбу. Впрочем, этот вариант освобождает от необходимости правильно настраивать /etc/ftpusers.

nnz ★★★★
()

Спасибо всем огромное за дельные советы!

firstep
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin