Michael Shigorin пишет: > On Thu, Sep 04, 2008 at 03:36:06PM +0400, Aleksey Avdeev wrote: >>>> 1. Есть файлы которые имеют права создавать/редактировать как >>>> вебсервер так и webmaster. >>> Как правило, они принадлежат пользователю %вебсервер и группе >>> %вебмастер, при этом запись разрешена и владельцу, и группе. >> Это характерно для файлов созданных вебсервером в процессе >> работы. Если файл с такими правами содержится в пакете -- >> получаем противоречие со ссылкой приведённой выше (т. к. файлом >> владеет псевдопользователь). > > В пакете-то зачем? Пакету с веб-софтиной место в /usr/share обычно. > Посмотри Debian webapp policy. 1. Промежуточное решение, до ввода в эксплуатацию менеджера виртуалхостов. 2. Отладить часть функционала вышеозначенного менеджера, до его фактического написания. Реализация на базе rpm позволит: а) уже сейчас понять а что собственно нам нужно; б) отложить реализацию установки/обновления вебаппов (наиболее трудоёмкая часть) без блокировки более простой задачи (управление правами в /var/www/). > > [из жабера] > > [15:13:20] по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name > [15:13:22] под рутом > [15:13:46] а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхоста > [15:13:57] с симлинками и прочим скорее никак > [15:14:17] если не симлинкать всё подряд, то так умеют на сейчас считанные единицы софта (например, typo3) > [15:14:40] >> по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name >> под рутом > С этим -- согласен полностью. > [15:15:26] собсно с вебполиси половина мороки -- про разные серверы и то, что они часть умеют "одинаково", часть "по-своему" > [15:15:45] а большая половина -- как раз про application deployment/upgrade > [15:16:10] >> а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхоста > А сдесь -- проблема вебмастера и выползает. (Особенно -- если это не виртхост.) > [15:16:11] с учётом уровня развития нонешнего вебсофта как линуксового в 93 -- "вот здесь подправить, вот здесь добавить" > [15:18:15] Основная проблема в singlхосте (или как там его правельно) -- при установке пакета (и особенно, при его сборке) мы незнаем кто (какой пользователь) будет вебмастером. > [15:18:33] и не надо > [15:18:48] надо иметь возможность указать группу > [15:18:59] Болие того -- пользователей с правами вебмастера может быть несколько (возможно я сдесь перегибаю палку). > [15:19:07] которая рулит виртхостом (дальше -- и конкретным аппом при нужде) > [15:20:04] >> надо иметь возможность указать группу > Такая возможность есть. И я _сильно_ хочу ей и ограничится (чтобы некого псевдо root`а не заводить). > [продолжение банкета] [16:27] А раз псевдо root`а не заводим, то получается что принадлежащих ему файлов/каталогов в пакете быть недолжно. И максиум к чему мы можем тогда привязываться -- это г руппам. [16:29] Но для решения данной задачи руления только групавыми провами недостаточно: как миниум нужны файлы доступные группе _webserver на чтение и группе webmaster на запись... [16:31] Как вариант решения возможен переход к парадигме: то что может редактировать вабсервер -- может редактировать и вебмастер. [16:35] Тогда: 1. Пользователь-вебмастер включается во все группы вабсерверов, которыми он имеет права рулить. 2. Пользователь-вебмастер включается в группу webmaster. 3. umask для вебсерверов выставляется так, чтобы создаваемые ими файлы имели права 664 (а не 644, как сейчас). [16:36] Основной вопрос, который меня по этому поводу мучит -- насколько удобно данное решение, и покрывает ли оно большенство частных случаев... -- С уважением. Алексей.