[Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?

[Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1043 bytes --]

Приветствую.

   Как вебмастеру его права, не давая ему root`а?

   Имеем:

1. По ALT полиси каталоги и файлы содержащиеся в пакете должны 
принадлежать root`у.

2. Не должно быть файлов открытых для записи всем пользователям.

3. Желательно избежать наличия каталогов, открытых для записи всем 
пользователями.

   В то же время для веб приложений (да и самих веб серверов) актуально 
следующие (считаем что webmaster -- пользователь отличный от root и 
имеющий обязанности вебмастера):

1. Есть файлы которые имеют права создавать/редактировать как вебсервер 
так и webmaster.

2. Есть каталоги, содержимое которых имеют право менять как вебсервер 
так и webmaster.

3. Есть файлы которые имеет право менять только webmaster,а читать -- 
webmaster и вебсервер, но не любой другой пользователь.

   Я слабо представляю как это разрулить в полном объёме: Если п. п. 1,2 
можно решить, включить webmaster`а одну группу с вебсерверами, то как 
быть с п. 3 -- я не понимаю... :-/

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , не давая ему root?

[Yuri Bushmelev]

В сообщении от Вторник 02 сентября 2008 Aleksey Avdeev написал(a):
> Приветствую.

> 3. Есть файлы которые имеет право менять только webmaster,а читать --
> webmaster и вебсервер, но не любой другой пользователь.
>
>    Я слабо представляю как это разрулить в полном объёме: Если п. п. 1,2
> можно решить, включить webmaster`а одну группу с вебсерверами, то как
> быть с п. 3 -- я не понимаю... :-/

Ну только если сделать webmaster'а владельцем этого файла, добавить 
веб-сервер в еще одну спецгруппу, выставить эту группу на файл и поставить 
на все это 750 :)

-- 
С уважением,
Бушмелев Юрий

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , не давая ему root?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 757 bytes --]

Yuri Bushmelev пишет:
> В сообщении от Вторник 02 сентября 2008 Aleksey Avdeev написал(a):
>> Приветствую.
> 
>> 3. Есть файлы которые имеет право менять только webmaster,а читать --
>> webmaster и вебсервер, но не любой другой пользователь.
>>
>>    Я слабо представляю как это разрулить в полном объёме: Если п. п. 1,2
>> можно решить, включить webmaster`а одну группу с вебсерверами, то как
>> быть с п. 3 -- я не понимаю... :-/
> 
> Ну только если сделать webmaster'а владельцем этого файла, добавить 
> веб-сервер в еще одну спецгруппу, выставить эту группу на файл и поставить 
> на все это 750 :)

   Проблема в том, что вебмастером я считаю _любого_ пользователя 
входящего в группу webmaster...

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , не давая ему root?

[Yuri Bushmelev]

В сообщении от Вторник 02 сентября 2008 Aleksey Avdeev написал(a):

> > Ну только если сделать webmaster'а владельцем этого файла, добавить
> > веб-сервер в еще одну спецгруппу, выставить эту группу на файл и
> > поставить на все это 750 :)
>
>    Проблема в том, что вебмастером я считаю _любого_ пользователя
> входящего в группу webmaster...

А, вон оно что.. ну есть еще вариант поиграть правами на каталог.. но лучеш 
уж тогда на ACL'и переходить, имхо.

Или делать одного вебмастера-юзера и sudo на него. Но сложнее будет 
отслеживать, кто что сломал.

-- 
С уважением,
Бушмелев Юрий

Re: [Sysadmins] [devel] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2113 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 02 Sep 2008 at 17:00 "AA" == Aleksey Avdeev writes:
> 
>>> AA> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
>>> AA> принадлежать root`у.
>>> Нет. Изучите внимательно
>>> http://docs.altlinux.ru/alt/devel/ch01s03.html
> AA>   Цитирую:
> 
> Да я читал неоднократно.
> 
> AA>   Да. Но тогда у нас получается что есть специализированный, _заранее_
> AA> заданный пользователь, являющийся вебмастером...
> 
> Эээ, ну я подумал что вы так и хотите сделать.

   Нет, я как раз хочу сделать так, чтобы любого пользователя можно было 
сделать вебмастером. В идеале -- нескольких сразу (чтобы одним 
вебсервером могло управлять несколько человек).

   Наиболее заманчиво здесь использовать группы (одна точка управления: 
пользователь либо входит в группу webmaster, либо нет). Но при 
практической реализации (группа webmaster уже создаётся) -- упёрся в 
права на объекты ФС...

> 
> AA>   А если мы примем, что что вебмастер -- это _любой_ пользователь
> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
> AA> не вижу решения без привлечения sudo.
> 
> Для single-hosting вариант с юзером webmaster по-моему весьма неплох.

   ИМХО: вариант плох тем, что появляется некий аля-root которому 
потребуется своя структура поддержки. Для root она сложилась 
исторически. Здесь же -- её придётся создавать... Вариант с группой 
выглядит красивее.

> В случае
> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.

   Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой 
настройки vhost-ов (установка/настройка приложений например) требуется 
создавать/редактировать файлы там.

PS: Отправляю копию sysadmins@, т. к. вопросы разработки и 
администрирования здесь перепились достаточно плотно.

PPS: Опыт администрирования вебсерверов у меня ограничен. Могу пороть лажу.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?

[Vladimir V. Kamarzin]

>>>>> On 02 Sep 2008 at 18:51 "AA" == Aleksey Avdeev writes:


>> AA>   Да. Но тогда у нас получается что есть специализированный,
>> _заранее_
>> AA> заданный пользователь, являющийся вебмастером...
>> Эээ, ну я подумал что вы так и хотите сделать.
AA>   Нет, я как раз хочу сделать так, чтобы любого пользователя можно
AA> было сделать вебмастером. В идеале -- нескольких сразу (чтобы одним
AA> вебсервером могло управлять несколько человек).
AA>   Наиболее заманчиво здесь использовать группы (одна точка управления:
AA> пользователь либо входит в группу webmaster, либо нет). Но при
AA> практической реализации (группа webmaster уже создаётся) -- упёрся в
AA> права на объекты ФС...

Получается не очень красиво: для делгирования прав на веб-приложение, надо
выставить группу webmaster объектам фс, при этом для предоставления прав на
запись вебсерверам придётся их включить в группу webmaster. Имхо не годится.

Если использовать вариант с группой, надо разруливать через acl-и.

>> AA>   А если мы примем, что что вебмастер -- это _любой_ пользователь
>> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
>> AA> не вижу решения без привлечения sudo.
>> Для single-hosting вариант с юзером webmaster по-моему весьма неплох.

AA>   ИМХО: вариант плох тем, что появляется некий аля-root которому
AA> потребуется своя структура поддержки. Для root она сложилась
AA> исторически. Здесь же -- её придётся создавать... Вариант с группой
AA> выглядит красивее.

>> В случае
>> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
>> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
>> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.

AA>   Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой
AA> настройки vhost-ов (установка/настройка приложений например) требуется
AA> создавать/редактировать файлы там.

Безотносительно vhosts - я не думаю что неким webmaster-ам надо давать
непосредственно править конфиги в /etc/http*. С другой стороны, можно на это
дело нарисовать control facility ;)
Будет нечто вроде control httpd-configs restricted | webmaster

AA> PS: Отправляю копию sysadmins@, т. к. вопросы разработки и
AA> администрирования здесь перепились достаточно плотно.

Да, лучше наверное здесь обсуждать.

-- 
vvk

Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix

Russian Postfix irc: irc.freenode.net #postfix-ru

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2846 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 02 Sep 2008 at 18:51 "AA" == Aleksey Avdeev writes:
> 
> 
>>> AA>   Да. Но тогда у нас получается что есть специализированный,
>>> _заранее_
>>> AA> заданный пользователь, являющийся вебмастером...
>>> Эээ, ну я подумал что вы так и хотите сделать.
> AA>   Нет, я как раз хочу сделать так, чтобы любого пользователя можно
> AA> было сделать вебмастером. В идеале -- нескольких сразу (чтобы одним
> AA> вебсервером могло управлять несколько человек).
> AA>   Наиболее заманчиво здесь использовать группы (одна точка управления:
> AA> пользователь либо входит в группу webmaster, либо нет). Но при
> AA> практической реализации (группа webmaster уже создаётся) -- упёрся в
> AA> права на объекты ФС...
> 
> Получается не очень красиво: для делгирования прав на веб-приложение, надо
> выставить группу webmaster объектам фс, при этом для предоставления прав на
> запись вебсерверам придётся их включить в группу webmaster. Имхо не годится.

   Может более осмысленно наоборот: включить вебмастера в группу 
_webserver (+ группы соответствующие конкретным серверам)? Тогда 
вебсервер не будет иметь права вебмастера...

   Минусы:

1. При этом мы теряем единую точку управления (пользователя придётся 
включать в несколько групп, но эта задача поддаётся автоматизации).

2. Группу _webserver придётся переименовывать (т. к. в неё будут входить 
реальные пользователи).

> 
> Если использовать вариант с группой, надо разруливать через acl-и.

   Хотелось бы этого избежать.

> 
>>> AA>   А если мы примем, что что вебмастер -- это _любой_ пользователь
>>> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
>>> AA> не вижу решения без привлечения sudo.
>>> Для single-hosting вариант с юзером webmaster по-моему весьма неплох.
> 
> AA>   ИМХО: вариант плох тем, что появляется некий аля-root которому
> AA> потребуется своя структура поддержки. Для root она сложилась
> AA> исторически. Здесь же -- её придётся создавать... Вариант с группой
> AA> выглядит красивее.
> 
>>> В случае
>>> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
>>> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
>>> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.
> 
> AA>   Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой
> AA> настройки vhost-ов (установка/настройка приложений например) требуется
> AA> создавать/редактировать файлы там.
> 
> Безотносительно vhosts - я не думаю что неким webmaster-ам надо давать
> непосредственно править конфиги в /etc/http*. С другой стороны, можно на это
> дело нарисовать control facility ;)
> Будет нечто вроде control httpd-configs restricted | webmaster

   Принято. ;-)

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?

[Vladimir V. Kamarzin]

>>>>> On 03 Sep 2008 at 14:53 "AA" == Aleksey Avdeev writes:

>> Получается не очень красиво: для делгирования прав на
>> веб-приложение, надо
>> выставить группу webmaster объектам фс, при этом для предоставления прав на
>> запись вебсерверам придётся их включить в группу webmaster. Имхо не годится.
AA>   Может более осмысленно наоборот: включить вебмастера в группу
AA> _webserver (+ группы соответствующие конкретным серверам)? Тогда
AA> вебсервер не будет иметь права вебмастера...

Ну это лучше, чем наоборот.

>> Если использовать вариант с группой, надо разруливать через acl-и.
AA>   Хотелось бы этого избежать.

А вот ещё пример-проблема: имеет директорию, куда может писать вебсервер:

# ls -ld /var/tmp/test/
drwxrwsr-x 3 root _webserver 4096 Sep  3 11:40 /var/tmp/test/

Создаём файл от имени веб-сервера:
# su - apache -s /bin/sh -c 'touch /var/tmp/test/test2'

Получаем
-rw-r--r-- 1 apache _webserver    0 Sep  3 15:59 test2

Т.е из-за дефолтного umask у группы доступа по записи на файл нет.

-- 
vvk

Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix

Russian Postfix irc: irc.freenode.net #postfix-ru

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 783 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 03 Sep 2008 at 14:53 "AA" == Aleksey Avdeev writes:
> 
...
> 
> А вот ещё пример-проблема: имеет директорию, куда может писать вебсервер:
> 
> # ls -ld /var/tmp/test/
> drwxrwsr-x 3 root _webserver 4096 Sep  3 11:40 /var/tmp/test/
> 
> Создаём файл от имени веб-сервера:
> # su - apache -s /bin/sh -c 'touch /var/tmp/test/test2'
> 
> Получаем
> -rw-r--r-- 1 apache _webserver    0 Sep  3 15:59 test2
> 
> Т.е из-за дефолтного umask у группы доступа по записи на файл нет.

   Но этого кажется можно избежать, выставив umask в init скрипте.

PS: Вариант с дефолтным umask для пользователя, не знаю будет ли 
работать: не помню куда можно врезаться с умолчаниями для 
псевдопользоаптеля.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?

[Michael Shigorin]

On Tue, Sep 02, 2008 at 02:07:08PM +0400, Aleksey Avdeev wrote:
> Как вебмастеру его права, не давая ему root`а?

Локальным рутом, разумеется.  Организовав необходимые права
на нужные каталоги.

> Имеем:
> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
> принадлежать root`у.
> 2. Не должно быть файлов открытых для записи всем пользователям.
> 3. Желательно избежать наличия каталогов, открытых для записи всем 
> пользователями.

Совсем не так.  Перечитай "Атрибуты файлов и каталогов":
http://docs.altlinux.ru/alt/devel/ch01s03.html

> В то же время для веб приложений (да и самих веб серверов)
> актуально следующие (считаем что webmaster -- пользователь
> отличный от root и имеющий обязанности вебмастера):
> 
> 1. Есть файлы которые имеют права создавать/редактировать как
> вебсервер так и webmaster.

Как правило, они принадлежат пользователю %вебсервер и группе
%вебмастер, при этом запись разрешена и владельцу, и группе.

> 2. Есть каталоги, содержимое которых имеют право менять как
> вебсервер так и webmaster.

Аналогично (+sgid по надобности).

> 3. Есть файлы которые имеет право менять только webmaster,а
> читать -- webmaster и вебсервер, но не любой другой
> пользователь.

Права вида 0460 тоже работают, вот только если владелец имеет
доступ к каталогу, где лежит такой файл -- он в состоянии выдать
себе право на запись.

> Я слабо представляю как это разрулить в полном объёме

Не стоит решать задачи, которые не стоят: можно намудрить ужасов
на ровном месте.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2055 bytes --]

Michael Shigorin пишет:
> On Tue, Sep 02, 2008 at 02:07:08PM +0400, Aleksey Avdeev wrote:
>> Как вебмастеру его права, не давая ему root`а?
> 
> Локальным рутом, разумеется.  Организовав необходимые права
> на нужные каталоги.
> 
>> Имеем:
>> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
>> принадлежать root`у.
>> 2. Не должно быть файлов открытых для записи всем пользователям.
>> 3. Желательно избежать наличия каталогов, открытых для записи всем 
>> пользователями.
> 
> Совсем не так.  Перечитай "Атрибуты файлов и каталогов":
> http://docs.altlinux.ru/alt/devel/ch01s03.html
> 
>> В то же время для веб приложений (да и самих веб серверов)
>> актуально следующие (считаем что webmaster -- пользователь
>> отличный от root и имеющий обязанности вебмастера):
>>
>> 1. Есть файлы которые имеют права создавать/редактировать как
>> вебсервер так и webmaster.
> 
> Как правило, они принадлежат пользователю %вебсервер и группе
> %вебмастер, при этом запись разрешена и владельцу, и группе.

   Это характерно для файлов созданных вебсервером в процессе работы. 
Если файл с такими правами содержится в пакете -- получаем противоречие 
со ссылкой приведённой выше (т. к. файлом владеет псевдопользователь).

> 
>> 2. Есть каталоги, содержимое которых имеют право менять как
>> вебсервер так и webmaster.
> 
> Аналогично (+sgid по надобности).

   Аналогично нельзя: получаем каталог принадлежащий псевдопользователю 
(вебсерверу), что противоречит ссылке выше.

> 
>> 3. Есть файлы которые имеет право менять только webmaster,а
>> читать -- webmaster и вебсервер, но не любой другой
>> пользователь.
> 
> Права вида 0460 тоже работают, вот только если владелец имеет
> доступ к каталогу, где лежит такой файл -- он в состоянии выдать
> себе право на запись.
> 
>> Я слабо представляю как это разрулить в полном объёме
> 
> Не стоит решать задачи, которые не стоят: можно намудрить ужасов
> на ровном месте.

   Потому и нехочу связываться с ACL.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?

[Michael Shigorin]

On Thu, Sep 04, 2008 at 03:36:06PM +0400, Aleksey Avdeev wrote:
> >>1. Есть файлы которые имеют права создавать/редактировать как
> >>вебсервер так и webmaster.
> >Как правило, они принадлежат пользователю %вебсервер и группе
> >%вебмастер, при этом запись разрешена и владельцу, и группе.
> Это характерно для файлов созданных вебсервером в процессе
> работы.  Если файл с такими правами содержится в пакете --
> получаем противоречие со ссылкой приведённой выше (т. к. файлом
> владеет псевдопользователь).

В пакете-то зачем?  Пакету с веб-софтиной место в /usr/share обычно.
Посмотри Debian webapp policy.

[из жабера]

[15:13:20] <mike> по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name
[15:13:22] <mike> под рутом
[15:13:46] <mike> а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхоста
[15:13:57] <mike> с симлинками и прочим скорее никак
[15:14:17] <mike> если не симлинкать всё подряд, то так умеют на сейчас считанные единицы софта (например, typo3)
[15:14:40] <solo>
> по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name
> под рутом
С этим -- согласен полностью.
[15:15:26] <mike> собсно с вебполиси половина мороки -- про разные серверы и то, что они часть умеют "одинаково", часть "по-своему"
[15:15:45] <mike> а большая половина -- как раз про application deployment/upgrade
[15:16:10] <solo>
> а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхоста
А сдесь -- проблема вебмастера и выползает. (Особенно -- если это не виртхост.)
[15:16:11] <mike> с учётом уровня развития нонешнего вебсофта как линуксового в 93 -- "вот здесь подправить, вот здесь добавить"
[15:18:15] <solo> Основная проблема в singlхосте (или как там его правельно) -- при установке пакета (и особенно, при его сборке) мы незнаем кто (какой пользователь) будет вебмастером.
[15:18:33] <mike> и не надо
[15:18:48] <mike> надо иметь возможность указать группу
[15:18:59] <solo> Болие того -- пользователей с правами вебмастера может быть несколько (возможно я сдесь перегибаю палку).
[15:19:07] <mike> которая рулит виртхостом (дальше -- и конкретным аппом при нужде)
[15:20:04] <solo>
> надо иметь возможность указать группу
Такая возможность есть. И я _сильно_ хочу ей и ограничится (чтобы некого псевдо root`а не заводить).

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 3930 bytes --]

Michael Shigorin пишет:
> On Thu, Sep 04, 2008 at 03:36:06PM +0400, Aleksey Avdeev wrote:
>>>> 1. Есть файлы которые имеют права создавать/редактировать как
>>>> вебсервер так и webmaster.
>>> Как правило, они принадлежат пользователю %вебсервер и группе
>>> %вебмастер, при этом запись разрешена и владельцу, и группе.
>> Это характерно для файлов созданных вебсервером в процессе
>> работы.  Если файл с такими правами содержится в пакете --
>> получаем противоречие со ссылкой приведённой выше (т. к. файлом
>> владеет псевдопользователь).
> 
> В пакете-то зачем?  Пакету с веб-софтиной место в /usr/share обычно.
> Посмотри Debian webapp policy.

1. Промежуточное решение, до ввода в эксплуатацию менеджера виртуалхостов.

2. Отладить часть функционала вышеозначенного менеджера, до его 
фактического написания. Реализация на базе rpm позволит:

а) уже сейчас понять а что собственно нам нужно;

б) отложить реализацию установки/обновления вебаппов (наиболее 
трудоёмкая часть) без блокировки более простой задачи (управление 
правами в /var/www/).

> 
> [из жабера]
> 
> [15:13:20] <mike> по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name
> [15:13:22] <mike> под рутом
> [15:13:46] <mike> а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхоста
> [15:13:57] <mike> с симлинками и прочим скорее никак
> [15:14:17] <mike> если не симлинкать всё подряд, то так умеют на сейчас считанные единицы софта (например, typo3)
> [15:14:40] <solo>
>> по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name
>> под рутом
> С этим -- согласен полностью.
> [15:15:26] <mike> собсно с вебполиси половина мороки -- про разные серверы и то, что они часть умеют "одинаково", часть "по-своему"
> [15:15:45] <mike> а большая половина -- как раз про application deployment/upgrade
> [15:16:10] <solo>
>> а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхоста
> А сдесь -- проблема вебмастера и выползает. (Особенно -- если это не виртхост.)
> [15:16:11] <mike> с учётом уровня развития нонешнего вебсофта как линуксового в 93 -- "вот здесь подправить, вот здесь добавить"
> [15:18:15] <solo> Основная проблема в singlхосте (или как там его правельно) -- при установке пакета (и особенно, при его сборке) мы незнаем кто (какой пользователь) будет вебмастером.
> [15:18:33] <mike> и не надо
> [15:18:48] <mike> надо иметь возможность указать группу
> [15:18:59] <solo> Болие того -- пользователей с правами вебмастера может быть несколько (возможно я сдесь перегибаю палку).
> [15:19:07] <mike> которая рулит виртхостом (дальше -- и конкретным аппом при нужде)
> [15:20:04] <solo>
>> надо иметь возможность указать группу
> Такая возможность есть. И я _сильно_ хочу ей и ограничится (чтобы некого псевдо root`а не заводить).
> 

[продолжение банкета]

[16:27]<solo> А раз псевдо root`а не заводим, то получается что 
принадлежащих ему файлов/каталогов в пакете быть недолжно. И максиум к 
чему мы можем тогда привязываться -- это г руппам.
[16:29]<solo> Но для решения данной задачи руления только групавыми 
провами недостаточно: как миниум нужны файлы доступные группе _webserver 
на чтение и группе webmaster на запись...
[16:31]<solo> Как вариант решения возможен переход к парадигме: то что 
может редактировать вабсервер -- может редактировать и вебмастер.
[16:35]<solo> Тогда:

1. Пользователь-вебмастер включается во все группы вабсерверов, которыми 
он имеет права рулить.

2. Пользователь-вебмастер включается в группу webmaster.

3. umask для вебсерверов выставляется так, чтобы создаваемые ими файлы 
имели права 664 (а не 644, как сейчас).
[16:36]<solo> Основной вопрос, который меня по этому поводу мучит -- 
насколько удобно данное решение, и покрывает ли оно большенство частных 
случаев...

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , не давая ему root?

[Veaceslav Grecea]

On Четверг 04 сентября 2008, Michael Shigorin wrote:
> [из жабера]
>
> [15:13:20] <mike> по-хорошему -- пакет живёт в /usr/share/%name или
> /usr/lib/cgi-bin/%name [15:13:22] <mike> под рутом
> [15:13:46] <mike> а _копия_ кода со своим конфигом -- от имени вебмастера
> конкретного виртхоста в докруте этого вхоста 
> [15:13:57] <mike> с симлинками  и прочим скорее никак
> [15:14:17] <mike> если не симлинкать всё подряд, то так умеют на сейчас
> считанные единицы софта (например, typo3)

Лучше только конфиг на уровень выше докрута статического контента хоста.
А вместо симлинков (для сайтов) сделать так:

DocumentRoot    "/var/www/webapps/<cms_name>/sites/<cms_id>/<site_name>"
DirectoryIndex  start.php
Alias  /start.php  /usr/share/<cms_name>/docroot/start.php
AliasMatch  ^/(bla-bla)$      "/usr/share/php/siafu/docroot/start.php/$1"

Разделяются точки входа админ-интерфейса cms и сайта как такового.

-- 
wbr, slavutich

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , не давая ему root?

[Veaceslav Grecea]

On Четверг 04 сентября 2008, Michael Shigorin wrote:
> [из жабера]
>
> [15:13:20] <mike> по-хорошему -- пакет живёт в /usr/share/%name или
> /usr/lib/cgi-bin/%name [15:13:22] <mike> под рутом
> [15:13:46] <mike> а _копия_ кода со своим конфигом -- от имени вебмастера
> конкретного виртхоста в докруте этого вхоста 
> [15:13:57] <mike> с симлинками  и прочим скорее никак
> [15:14:17] <mike> если не симлинкать всё подряд, то так умеют на сейчас
> считанные единицы софта (например, typo3)

Только лучше конфиг вытащить на уровень выше докрута статического контента 
хоста. А вместо симлинков (для сайтов) сделать так:

DocumentRoot    "/var/www/webapps/<cms_name>/sites/<cms_id>/<site_name>"
DirectoryIndex  start.php
Alias  /start.php  /usr/share/<cms_name>/docroot/start.php
AliasMatch  ^/(bla-bla)$      "/usr/share/php/siafu/docroot/start.php/$1"

Разделяются точки входа админ-интерфейса cms и сайта как такового.

-- 
wbr, slavutich

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?

[Michael Shigorin]

On Thu, Sep 04, 2008 at 04:50:42PM +0400, Aleksey Avdeev wrote:
> >В пакете-то зачем?  Пакету с веб-софтиной место в /usr/share обычно.
> 1. Промежуточное решение, до ввода в эксплуатацию менеджера виртуалхостов.

Не надо!

Лёш, эти промежуточные "решения" только добавляют головняка по
миграции с них.

Не бери на себя лишние обязательства, не умучаешься их выполнять.

Тут уж лучше руками, чем с автомата на автомат мигрировать.
Веб-софт ещё не дорос до автомата в основном, поэтому можно.

> [16:35]<solo> Тогда:
> 
> 1. Пользователь-вебмастер включается во все группы вабсерверов, которыми 
> он имеет права рулить.
> 
> 2. Пользователь-вебмастер включается в группу webmaster.
> 
> 3. umask для вебсерверов выставляется так, чтобы создаваемые ими файлы 
> имели права 664 (а не 644, как сейчас).
> [16:36]<solo> Основной вопрос, который меня по этому поводу мучит -- 
> насколько удобно данное решение, и покрывает ли оно большенство частных 
> случаев...

<mike> вроде резонно, вот про группы вебсерверов -- не всегда нужно

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1739 bytes --]

Michael Shigorin пишет:
> On Thu, Sep 04, 2008 at 04:50:42PM +0400, Aleksey Avdeev wrote:
>>> В пакете-то зачем?  Пакету с веб-софтиной место в /usr/share обычно.
>> 1. Промежуточное решение, до ввода в эксплуатацию менеджера виртуалхостов.
> 
> Не надо!
> 
> Лёш, эти промежуточные "решения" только добавляют головняка по
> миграции с них.

   Это сильно зависит от конкретики:

1. Прыжок в сторону, а потом следующий в другую -- да, добавляют.

2. Эволюционные шаги в одном направлении (без резких смен курса) -- 
облегчают движение.

   В нашем же случаи, когда сразу достичь результата не представляется 
возможным, движение мелкими шагами в сторону оптимума -- единственные 
_реальный_ вариант. Но путь продумать надо заранее: если придётся резко 
менять направление движения -- будет как раз описываемый тобой вариант.

> 
> Не бери на себя лишние обязательства, не умучаешься их выполнять.

   Если не мы, то кто? Делать-то надо...

> 
> Тут уж лучше руками, чем с автомата на автомат мигрировать.
> Веб-софт ещё не дорос до автомата в основном, поэтому можно.

   Проблема в том, что автомат (rpm) уже есть и для вебсофта он часто 
мешает... Задача на сейчас (в моём понимании) -- снизить помехи от этого 
автомата до разумного минимума: да, отмасштабировать на случай 
виртуального хостинга rpm нельзя (это задача не его уровня), но 
подоптимально решить задачу управления вебапами на синглхостинге вполне 
можно. И такое решение позволит резко упростить создание идеального 
автомата: т. к. задача сведётся к масштабированию текущего решения на 
виртуальные хосты (задача для каждого из vhost будет отмечаться от уже 
решённой только положением корня).

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]