From: Aleksey Avdeev <solo@solin.spb.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?
Date: Wed, 03 Sep 2008 12:53:18 +0400
Message-ID: <48BE507E.6030206@solin.spb.ru> (raw)
In-Reply-To: <m34p4x7pj6.fsf_-_@vvk.distance.ru>
[-- Attachment #1: Type: text/plain, Size: 2846 bytes --]
Vladimir V. Kamarzin пишет:
>>>>>> On 02 Sep 2008 at 18:51 "AA" == Aleksey Avdeev writes:
>
>
>>> AA> Да. Но тогда у нас получается что есть специализированный,
>>> _заранее_
>>> AA> заданный пользователь, являющийся вебмастером...
>>> Эээ, ну я подумал что вы так и хотите сделать.
> AA> Нет, я как раз хочу сделать так, чтобы любого пользователя можно
> AA> было сделать вебмастером. В идеале -- нескольких сразу (чтобы одним
> AA> вебсервером могло управлять несколько человек).
> AA> Наиболее заманчиво здесь использовать группы (одна точка управления:
> AA> пользователь либо входит в группу webmaster, либо нет). Но при
> AA> практической реализации (группа webmaster уже создаётся) -- упёрся в
> AA> права на объекты ФС...
>
> Получается не очень красиво: для делгирования прав на веб-приложение, надо
> выставить группу webmaster объектам фс, при этом для предоставления прав на
> запись вебсерверам придётся их включить в группу webmaster. Имхо не годится.
Может более осмысленно наоборот: включить вебмастера в группу
_webserver (+ группы соответствующие конкретным серверам)? Тогда
вебсервер не будет иметь права вебмастера...
Минусы:
1. При этом мы теряем единую точку управления (пользователя придётся
включать в несколько групп, но эта задача поддаётся автоматизации).
2. Группу _webserver придётся переименовывать (т. к. в неё будут входить
реальные пользователи).
>
> Если использовать вариант с группой, надо разруливать через acl-и.
Хотелось бы этого избежать.
>
>>> AA> А если мы примем, что что вебмастер -- это _любой_ пользователь
>>> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
>>> AA> не вижу решения без привлечения sudo.
>>> Для single-hosting вариант с юзером webmaster по-моему весьма неплох.
>
> AA> ИМХО: вариант плох тем, что появляется некий аля-root которому
> AA> потребуется своя структура поддержки. Для root она сложилась
> AA> исторически. Здесь же -- её придётся создавать... Вариант с группой
> AA> выглядит красивее.
>
>>> В случае
>>> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
>>> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
>>> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.
>
> AA> Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой
> AA> настройки vhost-ов (установка/настройка приложений например) требуется
> AA> создавать/редактировать файлы там.
>
> Безотносительно vhosts - я не думаю что неким webmaster-ам надо давать
> непосредственно править конфиги в /etc/http*. С другой стороны, можно на это
> дело нарисовать control facility ;)
> Будет нечто вроде control httpd-configs restricted | webmaster
Принято. ;-)
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]
next prev parent reply other threads:[~2008-09-03 8:53 UTC|newest]
Thread overview: 17+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-09-02 10:07 [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не " Aleksey Avdeev
2008-09-02 10:23 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , " Yuri Bushmelev
2008-09-02 11:02 ` Aleksey Avdeev
2008-09-02 11:07 ` Yuri Bushmelev
2008-09-02 12:51 ` [Sysadmins] [devel] Q: [WebPolicy]: Как вебмастеру его права,не " Aleksey Avdeev
2008-09-03 5:43 ` [Sysadmins] " Vladimir V. Kamarzin
2008-09-03 8:53 ` Aleksey Avdeev [this message]
2008-09-03 10:20 ` Vladimir V. Kamarzin
2008-09-03 11:51 ` Aleksey Avdeev
2008-09-04 11:27 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не " Michael Shigorin
2008-09-04 11:36 ` Aleksey Avdeev
2008-09-04 12:23 ` Michael Shigorin
2008-09-04 12:50 ` Aleksey Avdeev
2008-09-04 13:37 ` Michael Shigorin
2008-09-04 20:28 ` Aleksey Avdeev
2008-09-04 13:01 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , " Veaceslav Grecea
2008-09-04 13:11 ` Veaceslav Grecea
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=48BE507E.6030206@solin.spb.ru \
--to=solo@solin.spb.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git