ALT Linux Team development discussions
 help / color / mirror / Atom feed
* [devel] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?
@ 2008-09-02 10:07 Aleksey Avdeev
  2008-09-02 10:38 ` [devel] Q: [WebPolicy]: Как вебмастеру его права,не " Vladimir V. Kamarzin
  0 siblings, 1 reply; 5+ messages in thread
From: Aleksey Avdeev @ 2008-09-02 10:07 UTC (permalink / raw)
  To: ALT Linux Team development discussions; +Cc: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 1043 bytes --]

Приветствую.

   Как вебмастеру его права, не давая ему root`а?

   Имеем:

1. По ALT полиси каталоги и файлы содержащиеся в пакете должны 
принадлежать root`у.

2. Не должно быть файлов открытых для записи всем пользователям.

3. Желательно избежать наличия каталогов, открытых для записи всем 
пользователями.

   В то же время для веб приложений (да и самих веб серверов) актуально 
следующие (считаем что webmaster -- пользователь отличный от root и 
имеющий обязанности вебмастера):

1. Есть файлы которые имеют права создавать/редактировать как вебсервер 
так и webmaster.

2. Есть каталоги, содержимое которых имеют право менять как вебсервер 
так и webmaster.

3. Есть файлы которые имеет право менять только webmaster,а читать -- 
webmaster и вебсервер, но не любой другой пользователь.

   Я слабо представляю как это разрулить в полном объёме: Если п. п. 1,2 
можно решить, включить webmaster`а одну группу с вебсерверами, то как 
быть с п. 3 -- я не понимаю... :-/

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [devel] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?
  2008-09-02 10:07 [devel] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root? Aleksey Avdeev
@ 2008-09-02 10:38 ` Vladimir V. Kamarzin
  2008-09-02 11:00   ` Aleksey Avdeev
  0 siblings, 1 reply; 5+ messages in thread
From: Vladimir V. Kamarzin @ 2008-09-02 10:38 UTC (permalink / raw)
  To: ALT Linux Team development discussions

>>>>> On 02 Sep 2008 at 16:07 "AA" == Aleksey Avdeev writes:

AA> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
AA> принадлежать root`у.

Нет. Изучите внимательно http://docs.altlinux.ru/alt/devel/ch01s03.html

AA>   В то же время для веб приложений (да и самих веб серверов) актуально
AA> следующие (считаем что webmaster -- пользователь отличный от root и
AA> имеющий обязанности вебмастера):

AA> 1. Есть файлы которые имеют права создавать/редактировать как
AA> вебсервер так и webmaster.

664/660 webmaster:_webserver

AA> 2. Есть каталоги, содержимое которых имеют право менять как вебсервер
AA> так и webmaster.

1770/0770 webmaster:_webserver

AA>   Я слабо представляю как это разрулить в полном объёме: Если
AA> п. п. 1,2 можно решить, включить webmaster`а одну группу с
AA> вебсерверами, то как быть с п. 3 -- я не понимаю... :-/

Ну если приять тот факт, что webmaster - это не псевдопользователь, то всё
укладывается в policy ;)

-- 
vvk


^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [devel] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?
  2008-09-02 10:38 ` [devel] Q: [WebPolicy]: Как вебмастеру его права,не " Vladimir V. Kamarzin
@ 2008-09-02 11:00   ` Aleksey Avdeev
  2008-09-02 11:42     ` Vladimir V. Kamarzin
  0 siblings, 1 reply; 5+ messages in thread
From: Aleksey Avdeev @ 2008-09-02 11:00 UTC (permalink / raw)
  To: ALT Linux Team development discussions

[-- Attachment #1: Type: text/plain, Size: 2436 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 02 Sep 2008 at 16:07 "AA" == Aleksey Avdeev writes:
> 
> AA> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
> AA> принадлежать root`у.
> 
> Нет. Изучите внимательно http://docs.altlinux.ru/alt/devel/ch01s03.html

   Цитирую:

Владельцы файлов

Пакеты НЕ ДОЛЖНЫ содержать файлы, принадлежащие псевдо-пользователям, 
если в процессе работы к этим файлам осуществляется доступ процессов с 
другим uid либо с более широкими правами доступа. К таким файлам, в 
частности, относятся исполняемые, конфигурационные и неизменяемые файлы.

Обоснование: Псевдо-пользователь не должен иметь право изменять эти 
файлы; нарушение этого правила, как правило приводит к очевидной 
возможности осуществления pseudouser/root compromise.
Владельцы каталогов

Пакеты НЕ ДОЛЖНЫ содержать каталоги, принадлежащие псевдо-пользователям. 
Вместо этого следует использовать каталоги, принадлежащие root, с 
установленным sticky bit и доступом группы по записи.

Обоснование: Псевдо-пользователь не должен иметь право изменять атрибуты 
каталогов, а также файлы и каталоги, созданные другими пользователями; 
нарушение этого правила, как правило приводит к возможности 
осуществления pseudouser/root compromise.

> 
> AA>   В то же время для веб приложений (да и самих веб серверов) актуально
> AA> следующие (считаем что webmaster -- пользователь отличный от root и
> AA> имеющий обязанности вебмастера):
> 
> AA> 1. Есть файлы которые имеют права создавать/редактировать как
> AA> вебсервер так и webmaster.
> 
> 664/660 webmaster:_webserver
> 
> AA> 2. Есть каталоги, содержимое которых имеют право менять как вебсервер
> AA> так и webmaster.
> 
> 1770/0770 webmaster:_webserver
> 
> AA>   Я слабо представляю как это разрулить в полном объёме: Если
> AA> п. п. 1,2 можно решить, включить webmaster`а одну группу с
> AA> вебсерверами, то как быть с п. 3 -- я не понимаю... :-/
> 
> Ну если приять тот факт, что webmaster - это не псевдопользователь, то всё
> укладывается в policy ;)

   Да. Но тогда у нас получается что есть специализированный, _заранее_ 
заданный пользователь, являющийся вебмастером... Не слишком ли это жёстко?

   А если мы примем, что что вебмастер -- это _любой_ пользователь 
входящий в группу webmaster (что на мой взгляд болие правельно), то я не 
вижу решения без привлечения sudo.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [devel] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?
  2008-09-02 11:00   ` Aleksey Avdeev
@ 2008-09-02 11:42     ` Vladimir V. Kamarzin
  2008-09-02 12:51       ` Aleksey Avdeev
  0 siblings, 1 reply; 5+ messages in thread
From: Vladimir V. Kamarzin @ 2008-09-02 11:42 UTC (permalink / raw)
  To: ALT Linux Team development discussions

>>>>> On 02 Sep 2008 at 17:00 "AA" == Aleksey Avdeev writes:

>> AA> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
>> AA> принадлежать root`у.
>> Нет. Изучите внимательно
>> http://docs.altlinux.ru/alt/devel/ch01s03.html
AA>   Цитирую:

Да я читал неоднократно.

AA>   Да. Но тогда у нас получается что есть специализированный, _заранее_
AA> заданный пользователь, являющийся вебмастером...

Эээ, ну я подумал что вы так и хотите сделать.

AA>   А если мы примем, что что вебмастер -- это _любой_ пользователь
AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
AA> не вижу решения без привлечения sudo.

Для single-hosting вариант с юзером webmaster по-моему весьма неплох. В случае
virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.

-- 
vvk


^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [devel] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?
  2008-09-02 11:42     ` Vladimir V. Kamarzin
@ 2008-09-02 12:51       ` Aleksey Avdeev
  0 siblings, 0 replies; 5+ messages in thread
From: Aleksey Avdeev @ 2008-09-02 12:51 UTC (permalink / raw)
  To: ALT Linux Team development discussions, ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 2113 bytes --]

Vladimir V. Kamarzin пишет:
>>>>>> On 02 Sep 2008 at 17:00 "AA" == Aleksey Avdeev writes:
> 
>>> AA> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
>>> AA> принадлежать root`у.
>>> Нет. Изучите внимательно
>>> http://docs.altlinux.ru/alt/devel/ch01s03.html
> AA>   Цитирую:
> 
> Да я читал неоднократно.
> 
> AA>   Да. Но тогда у нас получается что есть специализированный, _заранее_
> AA> заданный пользователь, являющийся вебмастером...
> 
> Эээ, ну я подумал что вы так и хотите сделать.

   Нет, я как раз хочу сделать так, чтобы любого пользователя можно было 
сделать вебмастером. В идеале -- нескольких сразу (чтобы одним 
вебсервером могло управлять несколько человек).

   Наиболее заманчиво здесь использовать группы (одна точка управления: 
пользователь либо входит в группу webmaster, либо нет). Но при 
практической реализации (группа webmaster уже создаётся) -- упёрся в 
права на объекты ФС...

> 
> AA>   А если мы примем, что что вебмастер -- это _любой_ пользователь
> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
> AA> не вижу решения без привлечения sudo.
> 
> Для single-hosting вариант с юзером webmaster по-моему весьма неплох.

   ИМХО: вариант плох тем, что появляется некий аля-root которому 
потребуется своя структура поддержки. Для root она сложилась 
исторически. Здесь же -- её придётся создавать... Вариант с группой 
выглядит красивее.

> В случае
> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.

   Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой 
настройки vhost-ов (установка/настройка приложений например) требуется 
создавать/редактировать файлы там.

PS: Отправляю копию sysadmins@, т. к. вопросы разработки и 
администрирования здесь перепились достаточно плотно.

PPS: Опыт администрирования вебсерверов у меня ограничен. Могу пороть лажу.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

^ permalink raw reply	[flat|nested] 5+ messages in thread

end of thread, other threads:[~2008-09-02 12:51 UTC | newest]

Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-09-02 10:07 [devel] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root? Aleksey Avdeev
2008-09-02 10:38 ` [devel] Q: [WebPolicy]: Как вебмастеру его права,не " Vladimir V. Kamarzin
2008-09-02 11:00   ` Aleksey Avdeev
2008-09-02 11:42     ` Vladimir V. Kamarzin
2008-09-02 12:51       ` Aleksey Avdeev

ALT Linux Team development discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
		devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
	public-inbox-index devel

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.devel


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git