From: Aleksey Avdeev <solo@solin.spb.ru> To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org> Subject: Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root? Date: Wed, 03 Sep 2008 12:53:18 +0400 Message-ID: <48BE507E.6030206@solin.spb.ru> (raw) In-Reply-To: <m34p4x7pj6.fsf_-_@vvk.distance.ru> [-- Attachment #1: Type: text/plain, Size: 2846 bytes --] Vladimir V. Kamarzin пишет: >>>>>> On 02 Sep 2008 at 18:51 "AA" == Aleksey Avdeev writes: > > >>> AA> Да. Но тогда у нас получается что есть специализированный, >>> _заранее_ >>> AA> заданный пользователь, являющийся вебмастером... >>> Эээ, ну я подумал что вы так и хотите сделать. > AA> Нет, я как раз хочу сделать так, чтобы любого пользователя можно > AA> было сделать вебмастером. В идеале -- нескольких сразу (чтобы одним > AA> вебсервером могло управлять несколько человек). > AA> Наиболее заманчиво здесь использовать группы (одна точка управления: > AA> пользователь либо входит в группу webmaster, либо нет). Но при > AA> практической реализации (группа webmaster уже создаётся) -- упёрся в > AA> права на объекты ФС... > > Получается не очень красиво: для делгирования прав на веб-приложение, надо > выставить группу webmaster объектам фс, при этом для предоставления прав на > запись вебсерверам придётся их включить в группу webmaster. Имхо не годится. Может более осмысленно наоборот: включить вебмастера в группу _webserver (+ группы соответствующие конкретным серверам)? Тогда вебсервер не будет иметь права вебмастера... Минусы: 1. При этом мы теряем единую точку управления (пользователя придётся включать в несколько групп, но эта задача поддаётся автоматизации). 2. Группу _webserver придётся переименовывать (т. к. в неё будут входить реальные пользователи). > > Если использовать вариант с группой, надо разруливать через acl-и. Хотелось бы этого избежать. > >>> AA> А если мы примем, что что вебмастер -- это _любой_ пользователь >>> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я >>> AA> не вижу решения без привлечения sudo. >>> Для single-hosting вариант с юзером webmaster по-моему весьма неплох. > > AA> ИМХО: вариант плох тем, что появляется некий аля-root которому > AA> потребуется своя структура поддержки. Для root она сложилась > AA> исторически. Здесь же -- её придётся создавать... Вариант с группой > AA> выглядит красивее. > >>> В случае >>> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере >>> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми >>> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а. > > AA> Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой > AA> настройки vhost-ов (установка/настройка приложений например) требуется > AA> создавать/редактировать файлы там. > > Безотносительно vhosts - я не думаю что неким webmaster-ам надо давать > непосредственно править конфиги в /etc/http*. С другой стороны, можно на это > дело нарисовать control facility ;) > Будет нечто вроде control httpd-configs restricted | webmaster Принято. ;-) -- С уважением. Алексей. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 552 bytes --]
next prev parent reply other threads:[~2008-09-03 8:53 UTC|newest] Thread overview: 17+ messages / expand[flat|nested] mbox.gz Atom feed top 2008-09-02 10:07 [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не " Aleksey Avdeev 2008-09-02 10:23 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , " Yuri Bushmelev 2008-09-02 11:02 ` Aleksey Avdeev 2008-09-02 11:07 ` Yuri Bushmelev 2008-09-02 12:51 ` [Sysadmins] [devel] Q: [WebPolicy]: Как вебмастеру его права,не " Aleksey Avdeev 2008-09-03 5:43 ` [Sysadmins] " Vladimir V. Kamarzin 2008-09-03 8:53 ` Aleksey Avdeev [this message] 2008-09-03 10:20 ` Vladimir V. Kamarzin 2008-09-03 11:51 ` Aleksey Avdeev 2008-09-04 11:27 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не " Michael Shigorin 2008-09-04 11:36 ` Aleksey Avdeev 2008-09-04 12:23 ` Michael Shigorin 2008-09-04 12:50 ` Aleksey Avdeev 2008-09-04 13:37 ` Michael Shigorin 2008-09-04 20:28 ` Aleksey Avdeev 2008-09-04 13:01 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , " Veaceslav Grecea 2008-09-04 13:11 ` Veaceslav Grecea
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=48BE507E.6030206@solin.spb.ru \ --to=solo@solin.spb.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git