Michael Shigorin пишет:
> On Tue, Sep 02, 2008 at 02:07:08PM +0400, Aleksey Avdeev wrote:
>> Как вебмастеру его права, не давая ему root`а?
> 
> Локальным рутом, разумеется.  Организовав необходимые права
> на нужные каталоги.
> 
>> Имеем:
>> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
>> принадлежать root`у.
>> 2. Не должно быть файлов открытых для записи всем пользователям.
>> 3. Желательно избежать наличия каталогов, открытых для записи всем 
>> пользователями.
> 
> Совсем не так.  Перечитай "Атрибуты файлов и каталогов":
> http://docs.altlinux.ru/alt/devel/ch01s03.html
> 
>> В то же время для веб приложений (да и самих веб серверов)
>> актуально следующие (считаем что webmaster -- пользователь
>> отличный от root и имеющий обязанности вебмастера):
>>
>> 1. Есть файлы которые имеют права создавать/редактировать как
>> вебсервер так и webmaster.
> 
> Как правило, они принадлежат пользователю %вебсервер и группе
> %вебмастер, при этом запись разрешена и владельцу, и группе.

   Это характерно для файлов созданных вебсервером в процессе работы. 
Если файл с такими правами содержится в пакете -- получаем противоречие 
со ссылкой приведённой выше (т. к. файлом владеет псевдопользователь).

> 
>> 2. Есть каталоги, содержимое которых имеют право менять как
>> вебсервер так и webmaster.
> 
> Аналогично (+sgid по надобности).

   Аналогично нельзя: получаем каталог принадлежащий псевдопользователю 
(вебсерверу), что противоречит ссылке выше.

> 
>> 3. Есть файлы которые имеет право менять только webmaster,а
>> читать -- webmaster и вебсервер, но не любой другой
>> пользователь.
> 
> Права вида 0460 тоже работают, вот только если владелец имеет
> доступ к каталогу, где лежит такой файл -- он в состоянии выдать
> себе право на запись.
> 
>> Я слабо представляю как это разрулить в полном объёме
> 
> Не стоит решать задачи, которые не стоят: можно намудрить ужасов
> на ровном месте.

   Потому и нехочу связываться с ACL.

-- 

С уважением. Алексей.