From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mike@fly.osdn.org.ua>
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-0.8 required=5.0 tests=AWL,BAYES_00,FUZZY_XPILL
	autolearn=no version=3.2.4
Date: Thu, 4 Sep 2008 14:27:50 +0300
From: Michael Shigorin <mike@osdn.org.ua>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Message-ID: <20080904112750.GG25767@osdn.org.ua>
Mail-Followup-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <48BD104C.2070608@solin.spb.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <48BD104C.2070608@solin.spb.ru>
User-Agent: Mutt/1.4.2.1i
Subject: Re: [Sysadmins]
	=?koi8-r?b?UTogW1dlYlBvbGljeV06IOvByyDXxcLNwdPUxdLV?=
	=?koi8-r?b?IMXHzyDQ0sHXwSwgzsUgxMHXwdEgxc3VIHJvb3Q/?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.10b3
Precedence: list
Reply-To: shigorin@gmail.com,
	ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 04 Sep 2008 11:27:53 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/20080904112750.GG25767@osdn.org.ua/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

On Tue, Sep 02, 2008 at 02:07:08PM +0400, Aleksey Avdeev wrote:
> Как вебмастеру его права, не давая ему root`а?

Локальным рутом, разумеется.  Организовав необходимые права
на нужные каталоги.

> Имеем:
> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
> принадлежать root`у.
> 2. Не должно быть файлов открытых для записи всем пользователям.
> 3. Желательно избежать наличия каталогов, открытых для записи всем 
> пользователями.

Совсем не так.  Перечитай "Атрибуты файлов и каталогов":
http://docs.altlinux.ru/alt/devel/ch01s03.html

> В то же время для веб приложений (да и самих веб серверов)
> актуально следующие (считаем что webmaster -- пользователь
> отличный от root и имеющий обязанности вебмастера):
> 
> 1. Есть файлы которые имеют права создавать/редактировать как
> вебсервер так и webmaster.

Как правило, они принадлежат пользователю %вебсервер и группе
%вебмастер, при этом запись разрешена и владельцу, и группе.

> 2. Есть каталоги, содержимое которых имеют право менять как
> вебсервер так и webmaster.

Аналогично (+sgid по надобности).

> 3. Есть файлы которые имеет право менять только webmaster,а
> читать -- webmaster и вебсервер, но не любой другой
> пользователь.

Права вида 0460 тоже работают, вот только если владелец имеет
доступ к каталогу, где лежит такой файл -- он в состоянии выдать
себе право на запись.

> Я слабо представляю как это разрулить в полном объёме

Не стоит решать задачи, которые не стоят: можно намудрить ужасов
на ровном месте.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/