Re: apache2+ikiwiki: проблема с suid wrapper
On 08/16/2012 11:09 AM, Victor Wagner wrote:
> On 2012.08.16 at 10:32:27 +0200, Alex Mestiashvili wrote:
>
>
>>> Я вообще не понимаю, почему в мире web-хостинга не прижилась система
>>> выделения каждому клиенту двух юзеров - одного, от имени которого
>>> заливаются файлы, а другого - от имени которого выполняются скрипты.
>>> Этакого персонального www-data.
>>>
>>>
>> кстати эта проблема красиво решается для одного юзера с использованием
>> bindfs -o create-for-user=$user,create-for-group=$group
>>
>>>
> Не решается. Потому что юзеру нужно позволить апдейтить и редактировать
> скрипты. А скриптам - апдейтить и редактировать данные, не все из
> которых лежат в БД.
>
>
например:
есть сайт который крутится под suphp и скрипты запускаются от юзера xxx.
к этому сайту прикручен webdav через который можно редактировать скрипты.
для того чтобы скрипты допустим в /var/www/xxx c ownership xxx были
видны как www-data для вебдав
cоздаем еще одну директорию /var/www/xxx_dav которую монтируем следуюшим
образом:
bindfs -o create-for-user=xxx,create-for-group=xxx -u www-data -g
www-data /var/www/xxx /var/www/xxx_dav
теперь все файлы в /var/www/xxx_dav видны как www-data и их можно
редактировать, создавать новые и т.д. ,
при этом в /var/www/xxx файлы видны как созданые от xxx.
собственно через webdav вы редактируете файлы в /var/www/xxx_dav , а
скрипты запускаются веб сервером в /var/www/xxx .
Alex
Reply to: