[devel] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?

[devel] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1043 bytes --]

Приветствую.

   Как вебмастеру его права, не давая ему root`а?

   Имеем:

1. По ALT полиси каталоги и файлы содержащиеся в пакете должны 
принадлежать root`у.

2. Не должно быть файлов открытых для записи всем пользователям.

3. Желательно избежать наличия каталогов, открытых для записи всем 
пользователями.

   В то же время для веб приложений (да и самих веб серверов) актуально 
следующие (считаем что webmaster -- пользователь отличный от root и 
имеющий обязанности вебмастера):

1. Есть файлы которые имеют права создавать/редактировать как вебсервер 
так и webmaster.

2. Есть каталоги, содержимое которых имеют право менять как вебсервер 
так и webmaster.

3. Есть файлы которые имеет право менять только webmaster,а читать -- 
webmaster и вебсервер, но не любой другой пользователь.

   Я слабо представляю как это разрулить в полном объёме: Если п. п. 1,2 
можно решить, включить webmaster`а одну группу с вебсерверами, то как 
быть с п. 3 -- я не понимаю... :-/

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [devel] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?

[Vladimir V. Kamarzin]

>>>>> On 02 Sep 2008 at 16:07 "AA" == Aleksey Avdeev writes:

AA> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
AA> принадлежать root`у.

Нет. Изучите внимательно http://docs.altlinux.ru/alt/devel/ch01s03.html

AA>   В то же время для веб приложений (да и самих веб серверов) актуально
AA> следующие (считаем что webmaster -- пользователь отличный от root и
AA> имеющий обязанности вебмастера):

AA> 1. Есть файлы которые имеют права создавать/редактировать как
AA> вебсервер так и webmaster.

664/660 webmaster:_webserver

AA> 2. Есть каталоги, содержимое которых имеют право менять как вебсервер
AA> так и webmaster.

1770/0770 webmaster:_webserver

AA>   Я слабо представляю как это разрулить в полном объёме: Если
AA> п. п. 1,2 можно решить, включить webmaster`а одну группу с
AA> вебсерверами, то как быть с п. 3 -- я не понимаю... :-/

Ну если приять тот факт, что webmaster - это не псевдопользователь, то всё
укладывается в policy ;)

-- 
vvk

Re: [devel] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2436 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 02 Sep 2008 at 16:07 "AA" == Aleksey Avdeev writes:
> 
> AA> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
> AA> принадлежать root`у.
> 
> Нет. Изучите внимательно http://docs.altlinux.ru/alt/devel/ch01s03.html

   Цитирую:

Владельцы файлов

Пакеты НЕ ДОЛЖНЫ содержать файлы, принадлежащие псевдо-пользователям, 
если в процессе работы к этим файлам осуществляется доступ процессов с 
другим uid либо с более широкими правами доступа. К таким файлам, в 
частности, относятся исполняемые, конфигурационные и неизменяемые файлы.

Обоснование: Псевдо-пользователь не должен иметь право изменять эти 
файлы; нарушение этого правила, как правило приводит к очевидной 
возможности осуществления pseudouser/root compromise.
Владельцы каталогов

Пакеты НЕ ДОЛЖНЫ содержать каталоги, принадлежащие псевдо-пользователям. 
Вместо этого следует использовать каталоги, принадлежащие root, с 
установленным sticky bit и доступом группы по записи.

Обоснование: Псевдо-пользователь не должен иметь право изменять атрибуты 
каталогов, а также файлы и каталоги, созданные другими пользователями; 
нарушение этого правила, как правило приводит к возможности 
осуществления pseudouser/root compromise.

> 
> AA>   В то же время для веб приложений (да и самих веб серверов) актуально
> AA> следующие (считаем что webmaster -- пользователь отличный от root и
> AA> имеющий обязанности вебмастера):
> 
> AA> 1. Есть файлы которые имеют права создавать/редактировать как
> AA> вебсервер так и webmaster.
> 
> 664/660 webmaster:_webserver
> 
> AA> 2. Есть каталоги, содержимое которых имеют право менять как вебсервер
> AA> так и webmaster.
> 
> 1770/0770 webmaster:_webserver
> 
> AA>   Я слабо представляю как это разрулить в полном объёме: Если
> AA> п. п. 1,2 можно решить, включить webmaster`а одну группу с
> AA> вебсерверами, то как быть с п. 3 -- я не понимаю... :-/
> 
> Ну если приять тот факт, что webmaster - это не псевдопользователь, то всё
> укладывается в policy ;)

   Да. Но тогда у нас получается что есть специализированный, _заранее_ 
заданный пользователь, являющийся вебмастером... Не слишком ли это жёстко?

   А если мы примем, что что вебмастер -- это _любой_ пользователь 
входящий в группу webmaster (что на мой взгляд болие правельно), то я не 
вижу решения без привлечения sudo.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [devel] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?

[Vladimir V. Kamarzin]

>>>>> On 02 Sep 2008 at 17:00 "AA" == Aleksey Avdeev writes:

>> AA> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
>> AA> принадлежать root`у.
>> Нет. Изучите внимательно
>> http://docs.altlinux.ru/alt/devel/ch01s03.html
AA>   Цитирую:

Да я читал неоднократно.

AA>   Да. Но тогда у нас получается что есть специализированный, _заранее_
AA> заданный пользователь, являющийся вебмастером...

Эээ, ну я подумал что вы так и хотите сделать.

AA>   А если мы примем, что что вебмастер -- это _любой_ пользователь
AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
AA> не вижу решения без привлечения sudo.

Для single-hosting вариант с юзером webmaster по-моему весьма неплох. В случае
virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.

-- 
vvk

Re: [devel] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 2113 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 02 Sep 2008 at 17:00 "AA" == Aleksey Avdeev writes:
> 
>>> AA> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
>>> AA> принадлежать root`у.
>>> Нет. Изучите внимательно
>>> http://docs.altlinux.ru/alt/devel/ch01s03.html
> AA>   Цитирую:
> 
> Да я читал неоднократно.
> 
> AA>   Да. Но тогда у нас получается что есть специализированный, _заранее_
> AA> заданный пользователь, являющийся вебмастером...
> 
> Эээ, ну я подумал что вы так и хотите сделать.

   Нет, я как раз хочу сделать так, чтобы любого пользователя можно было 
сделать вебмастером. В идеале -- нескольких сразу (чтобы одним 
вебсервером могло управлять несколько человек).

   Наиболее заманчиво здесь использовать группы (одна точка управления: 
пользователь либо входит в группу webmaster, либо нет). Но при 
практической реализации (группа webmaster уже создаётся) -- упёрся в 
права на объекты ФС...

> 
> AA>   А если мы примем, что что вебмастер -- это _любой_ пользователь
> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
> AA> не вижу решения без привлечения sudo.
> 
> Для single-hosting вариант с юзером webmaster по-моему весьма неплох.

   ИМХО: вариант плох тем, что появляется некий аля-root которому 
потребуется своя структура поддержки. Для root она сложилась 
исторически. Здесь же -- её придётся создавать... Вариант с группой 
выглядит красивее.

> В случае
> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.

   Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой 
настройки vhost-ов (установка/настройка приложений например) требуется 
создавать/редактировать файлы там.

PS: Отправляю копию sysadmins@, т. к. вопросы разработки и 
администрирования здесь перепились достаточно плотно.

PPS: Опыт администрирования вебсерверов у меня ограничен. Могу пороть лажу.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]