* [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?
@ 2008-09-02 10:07 Aleksey Avdeev
2008-09-02 10:23 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , " Yuri Bushmelev
` (2 more replies)
0 siblings, 3 replies; 17+ messages in thread
From: Aleksey Avdeev @ 2008-09-02 10:07 UTC (permalink / raw)
To: ALT Linux Team development discussions; +Cc: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1043 bytes --]
Приветствую.
Как вебмастеру его права, не давая ему root`а?
Имеем:
1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
принадлежать root`у.
2. Не должно быть файлов открытых для записи всем пользователям.
3. Желательно избежать наличия каталогов, открытых для записи всем
пользователями.
В то же время для веб приложений (да и самих веб серверов) актуально
следующие (считаем что webmaster -- пользователь отличный от root и
имеющий обязанности вебмастера):
1. Есть файлы которые имеют права создавать/редактировать как вебсервер
так и webmaster.
2. Есть каталоги, содержимое которых имеют право менять как вебсервер
так и webmaster.
3. Есть файлы которые имеет право менять только webmaster,а читать --
webmaster и вебсервер, но не любой другой пользователь.
Я слабо представляю как это разрулить в полном объёме: Если п. п. 1,2
можно решить, включить webmaster`а одну группу с вебсерверами, то как
быть с п. 3 -- я не понимаю... :-/
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , не давая ему root?
2008-09-02 10:07 [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root? Aleksey Avdeev
@ 2008-09-02 10:23 ` Yuri Bushmelev
2008-09-02 11:02 ` Aleksey Avdeev
2008-09-04 11:27 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не " Michael Shigorin
2 siblings, 1 reply; 17+ messages in thread
From: Yuri Bushmelev @ 2008-09-02 10:23 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Вторник 02 сентября 2008 Aleksey Avdeev написал(a):
> Приветствую.
> 3. Есть файлы которые имеет право менять только webmaster,а читать --
> webmaster и вебсервер, но не любой другой пользователь.
>
> Я слабо представляю как это разрулить в полном объёме: Если п. п. 1,2
> можно решить, включить webmaster`а одну группу с вебсерверами, то как
> быть с п. 3 -- я не понимаю... :-/
Ну только если сделать webmaster'а владельцем этого файла, добавить
веб-сервер в еще одну спецгруппу, выставить эту группу на файл и поставить
на все это 750 :)
--
С уважением,
Бушмелев Юрий
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , не давая ему root?
2008-09-02 10:23 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , " Yuri Bushmelev
@ 2008-09-02 11:02 ` Aleksey Avdeev
2008-09-02 11:07 ` Yuri Bushmelev
0 siblings, 1 reply; 17+ messages in thread
From: Aleksey Avdeev @ 2008-09-02 11:02 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 757 bytes --]
Yuri Bushmelev пишет:
> В сообщении от Вторник 02 сентября 2008 Aleksey Avdeev написал(a):
>> Приветствую.
>
>> 3. Есть файлы которые имеет право менять только webmaster,а читать --
>> webmaster и вебсервер, но не любой другой пользователь.
>>
>> Я слабо представляю как это разрулить в полном объёме: Если п. п. 1,2
>> можно решить, включить webmaster`а одну группу с вебсерверами, то как
>> быть с п. 3 -- я не понимаю... :-/
>
> Ну только если сделать webmaster'а владельцем этого файла, добавить
> веб-сервер в еще одну спецгруппу, выставить эту группу на файл и поставить
> на все это 750 :)
Проблема в том, что вебмастером я считаю _любого_ пользователя
входящего в группу webmaster...
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , не давая ему root?
2008-09-02 11:02 ` Aleksey Avdeev
@ 2008-09-02 11:07 ` Yuri Bushmelev
0 siblings, 0 replies; 17+ messages in thread
From: Yuri Bushmelev @ 2008-09-02 11:07 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Вторник 02 сентября 2008 Aleksey Avdeev написал(a):
> > Ну только если сделать webmaster'а владельцем этого файла, добавить
> > веб-сервер в еще одну спецгруппу, выставить эту группу на файл и
> > поставить на все это 750 :)
>
> Проблема в том, что вебмастером я считаю _любого_ пользователя
> входящего в группу webmaster...
А, вон оно что.. ну есть еще вариант поиграть правами на каталог.. но лучеш
уж тогда на ACL'и переходить, имхо.
Или делать одного вебмастера-юзера и sudo на него. Но сложнее будет
отслеживать, кто что сломал.
--
С уважением,
Бушмелев Юрий
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] [devel] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?
@ 2008-09-02 12:51 ` Aleksey Avdeev
2008-09-03 5:43 ` [Sysadmins] " Vladimir V. Kamarzin
0 siblings, 1 reply; 17+ messages in thread
From: Aleksey Avdeev @ 2008-09-02 12:51 UTC (permalink / raw)
To: ALT Linux Team development discussions, ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 2113 bytes --]
Vladimir V. Kamarzin пишет:
>>>>>> On 02 Sep 2008 at 17:00 "AA" == Aleksey Avdeev writes:
>
>>> AA> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
>>> AA> принадлежать root`у.
>>> Нет. Изучите внимательно
>>> http://docs.altlinux.ru/alt/devel/ch01s03.html
> AA> Цитирую:
>
> Да я читал неоднократно.
>
> AA> Да. Но тогда у нас получается что есть специализированный, _заранее_
> AA> заданный пользователь, являющийся вебмастером...
>
> Эээ, ну я подумал что вы так и хотите сделать.
Нет, я как раз хочу сделать так, чтобы любого пользователя можно было
сделать вебмастером. В идеале -- нескольких сразу (чтобы одним
вебсервером могло управлять несколько человек).
Наиболее заманчиво здесь использовать группы (одна точка управления:
пользователь либо входит в группу webmaster, либо нет). Но при
практической реализации (группа webmaster уже создаётся) -- упёрся в
права на объекты ФС...
>
> AA> А если мы примем, что что вебмастер -- это _любой_ пользователь
> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
> AA> не вижу решения без привлечения sudo.
>
> Для single-hosting вариант с юзером webmaster по-моему весьма неплох.
ИМХО: вариант плох тем, что появляется некий аля-root которому
потребуется своя структура поддержки. Для root она сложилась
исторически. Здесь же -- её придётся создавать... Вариант с группой
выглядит красивее.
> В случае
> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.
Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой
настройки vhost-ов (установка/настройка приложений например) требуется
создавать/редактировать файлы там.
PS: Отправляю копию sysadmins@, т. к. вопросы разработки и
администрирования здесь перепились достаточно плотно.
PPS: Опыт администрирования вебсерверов у меня ограничен. Могу пороть лажу.
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?
2008-09-02 12:51 ` [Sysadmins] [devel] Q: [WebPolicy]: Как вебмастеру его права,не " Aleksey Avdeev
@ 2008-09-03 5:43 ` Vladimir V. Kamarzin
2008-09-03 8:53 ` Aleksey Avdeev
0 siblings, 1 reply; 17+ messages in thread
From: Vladimir V. Kamarzin @ 2008-09-03 5:43 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 02 Sep 2008 at 18:51 "AA" == Aleksey Avdeev writes:
>> AA> Да. Но тогда у нас получается что есть специализированный,
>> _заранее_
>> AA> заданный пользователь, являющийся вебмастером...
>> Эээ, ну я подумал что вы так и хотите сделать.
AA> Нет, я как раз хочу сделать так, чтобы любого пользователя можно
AA> было сделать вебмастером. В идеале -- нескольких сразу (чтобы одним
AA> вебсервером могло управлять несколько человек).
AA> Наиболее заманчиво здесь использовать группы (одна точка управления:
AA> пользователь либо входит в группу webmaster, либо нет). Но при
AA> практической реализации (группа webmaster уже создаётся) -- упёрся в
AA> права на объекты ФС...
Получается не очень красиво: для делгирования прав на веб-приложение, надо
выставить группу webmaster объектам фс, при этом для предоставления прав на
запись вебсерверам придётся их включить в группу webmaster. Имхо не годится.
Если использовать вариант с группой, надо разруливать через acl-и.
>> AA> А если мы примем, что что вебмастер -- это _любой_ пользователь
>> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
>> AA> не вижу решения без привлечения sudo.
>> Для single-hosting вариант с юзером webmaster по-моему весьма неплох.
AA> ИМХО: вариант плох тем, что появляется некий аля-root которому
AA> потребуется своя структура поддержки. Для root она сложилась
AA> исторически. Здесь же -- её придётся создавать... Вариант с группой
AA> выглядит красивее.
>> В случае
>> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
>> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
>> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.
AA> Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой
AA> настройки vhost-ов (установка/настройка приложений например) требуется
AA> создавать/редактировать файлы там.
Безотносительно vhosts - я не думаю что неким webmaster-ам надо давать
непосредственно править конфиги в /etc/http*. С другой стороны, можно на это
дело нарисовать control facility ;)
Будет нечто вроде control httpd-configs restricted | webmaster
AA> PS: Отправляю копию sysadmins@, т. к. вопросы разработки и
AA> администрирования здесь перепились достаточно плотно.
Да, лучше наверное здесь обсуждать.
--
vvk
Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?
2008-09-03 5:43 ` [Sysadmins] " Vladimir V. Kamarzin
@ 2008-09-03 8:53 ` Aleksey Avdeev
2008-09-03 10:20 ` Vladimir V. Kamarzin
0 siblings, 1 reply; 17+ messages in thread
From: Aleksey Avdeev @ 2008-09-03 8:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 2846 bytes --]
Vladimir V. Kamarzin пишет:
>>>>>> On 02 Sep 2008 at 18:51 "AA" == Aleksey Avdeev writes:
>
>
>>> AA> Да. Но тогда у нас получается что есть специализированный,
>>> _заранее_
>>> AA> заданный пользователь, являющийся вебмастером...
>>> Эээ, ну я подумал что вы так и хотите сделать.
> AA> Нет, я как раз хочу сделать так, чтобы любого пользователя можно
> AA> было сделать вебмастером. В идеале -- нескольких сразу (чтобы одним
> AA> вебсервером могло управлять несколько человек).
> AA> Наиболее заманчиво здесь использовать группы (одна точка управления:
> AA> пользователь либо входит в группу webmaster, либо нет). Но при
> AA> практической реализации (группа webmaster уже создаётся) -- упёрся в
> AA> права на объекты ФС...
>
> Получается не очень красиво: для делгирования прав на веб-приложение, надо
> выставить группу webmaster объектам фс, при этом для предоставления прав на
> запись вебсерверам придётся их включить в группу webmaster. Имхо не годится.
Может более осмысленно наоборот: включить вебмастера в группу
_webserver (+ группы соответствующие конкретным серверам)? Тогда
вебсервер не будет иметь права вебмастера...
Минусы:
1. При этом мы теряем единую точку управления (пользователя придётся
включать в несколько групп, но эта задача поддаётся автоматизации).
2. Группу _webserver придётся переименовывать (т. к. в неё будут входить
реальные пользователи).
>
> Если использовать вариант с группой, надо разруливать через acl-и.
Хотелось бы этого избежать.
>
>>> AA> А если мы примем, что что вебмастер -- это _любой_ пользователь
>>> AA> входящий в группу webmaster (что на мой взгляд болие правельно), то я
>>> AA> не вижу решения без привлечения sudo.
>>> Для single-hosting вариант с юзером webmaster по-моему весьма неплох.
>
> AA> ИМХО: вариант плох тем, что появляется некий аля-root которому
> AA> потребуется своя структура поддержки. Для root она сложилась
> AA> исторически. Здесь же -- её придётся создавать... Вариант с группой
> AA> выглядит красивее.
>
>>> В случае
>>> virtual hosting давать доступ на все vhost-ы группе webmaster по меньшей мере
>>> странно (vhost-ы принадлежат разным людям). В случае vhost-ов владеть файлвми
>>> и деректориями вместо юзера webmaster должен юзер-владелец vhost-а.
>
> AA> Как тогда быть с правами внутри /etc/http*/conf? Сейчас для тонкой
> AA> настройки vhost-ов (установка/настройка приложений например) требуется
> AA> создавать/редактировать файлы там.
>
> Безотносительно vhosts - я не думаю что неким webmaster-ам надо давать
> непосредственно править конфиги в /etc/http*. С другой стороны, можно на это
> дело нарисовать control facility ;)
> Будет нечто вроде control httpd-configs restricted | webmaster
Принято. ;-)
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?
2008-09-03 8:53 ` Aleksey Avdeev
@ 2008-09-03 10:20 ` Vladimir V. Kamarzin
2008-09-03 11:51 ` Aleksey Avdeev
0 siblings, 1 reply; 17+ messages in thread
From: Vladimir V. Kamarzin @ 2008-09-03 10:20 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 03 Sep 2008 at 14:53 "AA" == Aleksey Avdeev writes:
>> Получается не очень красиво: для делгирования прав на
>> веб-приложение, надо
>> выставить группу webmaster объектам фс, при этом для предоставления прав на
>> запись вебсерверам придётся их включить в группу webmaster. Имхо не годится.
AA> Может более осмысленно наоборот: включить вебмастера в группу
AA> _webserver (+ группы соответствующие конкретным серверам)? Тогда
AA> вебсервер не будет иметь права вебмастера...
Ну это лучше, чем наоборот.
>> Если использовать вариант с группой, надо разруливать через acl-и.
AA> Хотелось бы этого избежать.
А вот ещё пример-проблема: имеет директорию, куда может писать вебсервер:
# ls -ld /var/tmp/test/
drwxrwsr-x 3 root _webserver 4096 Sep 3 11:40 /var/tmp/test/
Создаём файл от имени веб-сервера:
# su - apache -s /bin/sh -c 'touch /var/tmp/test/test2'
Получаем
-rw-r--r-- 1 apache _webserver 0 Sep 3 15:59 test2
Т.е из-за дефолтного umask у группы доступа по записи на файл нет.
--
vvk
Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права,не давая ему root?
2008-09-03 10:20 ` Vladimir V. Kamarzin
@ 2008-09-03 11:51 ` Aleksey Avdeev
0 siblings, 0 replies; 17+ messages in thread
From: Aleksey Avdeev @ 2008-09-03 11:51 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 783 bytes --]
Vladimir V. Kamarzin пишет:
>>>>>> On 03 Sep 2008 at 14:53 "AA" == Aleksey Avdeev writes:
>
...
>
> А вот ещё пример-проблема: имеет директорию, куда может писать вебсервер:
>
> # ls -ld /var/tmp/test/
> drwxrwsr-x 3 root _webserver 4096 Sep 3 11:40 /var/tmp/test/
>
> Создаём файл от имени веб-сервера:
> # su - apache -s /bin/sh -c 'touch /var/tmp/test/test2'
>
> Получаем
> -rw-r--r-- 1 apache _webserver 0 Sep 3 15:59 test2
>
> Т.е из-за дефолтного umask у группы доступа по записи на файл нет.
Но этого кажется можно избежать, выставив umask в init скрипте.
PS: Вариант с дефолтным umask для пользователя, не знаю будет ли
работать: не помню куда можно врезаться с умолчаниями для
псевдопользоаптеля.
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?
2008-09-02 10:07 [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root? Aleksey Avdeev
2008-09-02 10:23 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , " Yuri Bushmelev
@ 2008-09-04 11:27 ` Michael Shigorin
2008-09-04 11:36 ` Aleksey Avdeev
2 siblings, 1 reply; 17+ messages in thread
From: Michael Shigorin @ 2008-09-04 11:27 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Tue, Sep 02, 2008 at 02:07:08PM +0400, Aleksey Avdeev wrote:
> Как вебмастеру его права, не давая ему root`а?
Локальным рутом, разумеется. Организовав необходимые права
на нужные каталоги.
> Имеем:
> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
> принадлежать root`у.
> 2. Не должно быть файлов открытых для записи всем пользователям.
> 3. Желательно избежать наличия каталогов, открытых для записи всем
> пользователями.
Совсем не так. Перечитай "Атрибуты файлов и каталогов":
http://docs.altlinux.ru/alt/devel/ch01s03.html
> В то же время для веб приложений (да и самих веб серверов)
> актуально следующие (считаем что webmaster -- пользователь
> отличный от root и имеющий обязанности вебмастера):
>
> 1. Есть файлы которые имеют права создавать/редактировать как
> вебсервер так и webmaster.
Как правило, они принадлежат пользователю %вебсервер и группе
%вебмастер, при этом запись разрешена и владельцу, и группе.
> 2. Есть каталоги, содержимое которых имеют право менять как
> вебсервер так и webmaster.
Аналогично (+sgid по надобности).
> 3. Есть файлы которые имеет право менять только webmaster,а
> читать -- webmaster и вебсервер, но не любой другой
> пользователь.
Права вида 0460 тоже работают, вот только если владелец имеет
доступ к каталогу, где лежит такой файл -- он в состоянии выдать
себе право на запись.
> Я слабо представляю как это разрулить в полном объёме
Не стоит решать задачи, которые не стоят: можно намудрить ужасов
на ровном месте.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?
2008-09-04 11:27 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не " Michael Shigorin
@ 2008-09-04 11:36 ` Aleksey Avdeev
2008-09-04 12:23 ` Michael Shigorin
0 siblings, 1 reply; 17+ messages in thread
From: Aleksey Avdeev @ 2008-09-04 11:36 UTC (permalink / raw)
To: shigorin, ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 2055 bytes --]
Michael Shigorin пишет:
> On Tue, Sep 02, 2008 at 02:07:08PM +0400, Aleksey Avdeev wrote:
>> Как вебмастеру его права, не давая ему root`а?
>
> Локальным рутом, разумеется. Организовав необходимые права
> на нужные каталоги.
>
>> Имеем:
>> 1. По ALT полиси каталоги и файлы содержащиеся в пакете должны
>> принадлежать root`у.
>> 2. Не должно быть файлов открытых для записи всем пользователям.
>> 3. Желательно избежать наличия каталогов, открытых для записи всем
>> пользователями.
>
> Совсем не так. Перечитай "Атрибуты файлов и каталогов":
> http://docs.altlinux.ru/alt/devel/ch01s03.html
>
>> В то же время для веб приложений (да и самих веб серверов)
>> актуально следующие (считаем что webmaster -- пользователь
>> отличный от root и имеющий обязанности вебмастера):
>>
>> 1. Есть файлы которые имеют права создавать/редактировать как
>> вебсервер так и webmaster.
>
> Как правило, они принадлежат пользователю %вебсервер и группе
> %вебмастер, при этом запись разрешена и владельцу, и группе.
Это характерно для файлов созданных вебсервером в процессе работы.
Если файл с такими правами содержится в пакете -- получаем противоречие
со ссылкой приведённой выше (т. к. файлом владеет псевдопользователь).
>
>> 2. Есть каталоги, содержимое которых имеют право менять как
>> вебсервер так и webmaster.
>
> Аналогично (+sgid по надобности).
Аналогично нельзя: получаем каталог принадлежащий псевдопользователю
(вебсерверу), что противоречит ссылке выше.
>
>> 3. Есть файлы которые имеет право менять только webmaster,а
>> читать -- webmaster и вебсервер, но не любой другой
>> пользователь.
>
> Права вида 0460 тоже работают, вот только если владелец имеет
> доступ к каталогу, где лежит такой файл -- он в состоянии выдать
> себе право на запись.
>
>> Я слабо представляю как это разрулить в полном объёме
>
> Не стоит решать задачи, которые не стоят: можно намудрить ужасов
> на ровном месте.
Потому и нехочу связываться с ACL.
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?
2008-09-04 11:36 ` Aleksey Avdeev
@ 2008-09-04 12:23 ` Michael Shigorin
2008-09-04 12:50 ` Aleksey Avdeev
` (2 more replies)
0 siblings, 3 replies; 17+ messages in thread
From: Michael Shigorin @ 2008-09-04 12:23 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Thu, Sep 04, 2008 at 03:36:06PM +0400, Aleksey Avdeev wrote:
> >>1. Есть файлы которые имеют права создавать/редактировать как
> >>вебсервер так и webmaster.
> >Как правило, они принадлежат пользователю %вебсервер и группе
> >%вебмастер, при этом запись разрешена и владельцу, и группе.
> Это характерно для файлов созданных вебсервером в процессе
> работы. Если файл с такими правами содержится в пакете --
> получаем противоречие со ссылкой приведённой выше (т. к. файлом
> владеет псевдопользователь).
В пакете-то зачем? Пакету с веб-софтиной место в /usr/share обычно.
Посмотри Debian webapp policy.
[из жабера]
[15:13:20] <mike> по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name
[15:13:22] <mike> под рутом
[15:13:46] <mike> а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхоста
[15:13:57] <mike> с симлинками и прочим скорее никак
[15:14:17] <mike> если не симлинкать всё подряд, то так умеют на сейчас считанные единицы софта (например, typo3)
[15:14:40] <solo>
> по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name
> под рутом
С этим -- согласен полностью.
[15:15:26] <mike> собсно с вебполиси половина мороки -- про разные серверы и то, что они часть умеют "одинаково", часть "по-своему"
[15:15:45] <mike> а большая половина -- как раз про application deployment/upgrade
[15:16:10] <solo>
> а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхоста
А сдесь -- проблема вебмастера и выползает. (Особенно -- если это не виртхост.)
[15:16:11] <mike> с учётом уровня развития нонешнего вебсофта как линуксового в 93 -- "вот здесь подправить, вот здесь добавить"
[15:18:15] <solo> Основная проблема в singlхосте (или как там его правельно) -- при установке пакета (и особенно, при его сборке) мы незнаем кто (какой пользователь) будет вебмастером.
[15:18:33] <mike> и не надо
[15:18:48] <mike> надо иметь возможность указать группу
[15:18:59] <solo> Болие того -- пользователей с правами вебмастера может быть несколько (возможно я сдесь перегибаю палку).
[15:19:07] <mike> которая рулит виртхостом (дальше -- и конкретным аппом при нужде)
[15:20:04] <solo>
> надо иметь возможность указать группу
Такая возможность есть. И я _сильно_ хочу ей и ограничится (чтобы некого псевдо root`а не заводить).
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?
2008-09-04 12:23 ` Michael Shigorin
@ 2008-09-04 12:50 ` Aleksey Avdeev
2008-09-04 13:37 ` Michael Shigorin
2008-09-04 13:01 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , " Veaceslav Grecea
2008-09-04 13:11 ` Veaceslav Grecea
2 siblings, 1 reply; 17+ messages in thread
From: Aleksey Avdeev @ 2008-09-04 12:50 UTC (permalink / raw)
To: shigorin, ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 3930 bytes --]
Michael Shigorin пишет:
> On Thu, Sep 04, 2008 at 03:36:06PM +0400, Aleksey Avdeev wrote:
>>>> 1. Есть файлы которые имеют права создавать/редактировать как
>>>> вебсервер так и webmaster.
>>> Как правило, они принадлежат пользователю %вебсервер и группе
>>> %вебмастер, при этом запись разрешена и владельцу, и группе.
>> Это характерно для файлов созданных вебсервером в процессе
>> работы. Если файл с такими правами содержится в пакете --
>> получаем противоречие со ссылкой приведённой выше (т. к. файлом
>> владеет псевдопользователь).
>
> В пакете-то зачем? Пакету с веб-софтиной место в /usr/share обычно.
> Посмотри Debian webapp policy.
1. Промежуточное решение, до ввода в эксплуатацию менеджера виртуалхостов.
2. Отладить часть функционала вышеозначенного менеджера, до его
фактического написания. Реализация на базе rpm позволит:
а) уже сейчас понять а что собственно нам нужно;
б) отложить реализацию установки/обновления вебаппов (наиболее
трудоёмкая часть) без блокировки более простой задачи (управление
правами в /var/www/).
>
> [из жабера]
>
> [15:13:20] <mike> по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name
> [15:13:22] <mike> под рутом
> [15:13:46] <mike> а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхоста
> [15:13:57] <mike> с симлинками и прочим скорее никак
> [15:14:17] <mike> если не симлинкать всё подряд, то так умеют на сейчас считанные единицы софта (например, typo3)
> [15:14:40] <solo>
>> по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name
>> под рутом
> С этим -- согласен полностью.
> [15:15:26] <mike> собсно с вебполиси половина мороки -- про разные серверы и то, что они часть умеют "одинаково", часть "по-своему"
> [15:15:45] <mike> а большая половина -- как раз про application deployment/upgrade
> [15:16:10] <solo>
>> а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхоста
> А сдесь -- проблема вебмастера и выползает. (Особенно -- если это не виртхост.)
> [15:16:11] <mike> с учётом уровня развития нонешнего вебсофта как линуксового в 93 -- "вот здесь подправить, вот здесь добавить"
> [15:18:15] <solo> Основная проблема в singlхосте (или как там его правельно) -- при установке пакета (и особенно, при его сборке) мы незнаем кто (какой пользователь) будет вебмастером.
> [15:18:33] <mike> и не надо
> [15:18:48] <mike> надо иметь возможность указать группу
> [15:18:59] <solo> Болие того -- пользователей с правами вебмастера может быть несколько (возможно я сдесь перегибаю палку).
> [15:19:07] <mike> которая рулит виртхостом (дальше -- и конкретным аппом при нужде)
> [15:20:04] <solo>
>> надо иметь возможность указать группу
> Такая возможность есть. И я _сильно_ хочу ей и ограничится (чтобы некого псевдо root`а не заводить).
>
[продолжение банкета]
[16:27]<solo> А раз псевдо root`а не заводим, то получается что
принадлежащих ему файлов/каталогов в пакете быть недолжно. И максиум к
чему мы можем тогда привязываться -- это г руппам.
[16:29]<solo> Но для решения данной задачи руления только групавыми
провами недостаточно: как миниум нужны файлы доступные группе _webserver
на чтение и группе webmaster на запись...
[16:31]<solo> Как вариант решения возможен переход к парадигме: то что
может редактировать вабсервер -- может редактировать и вебмастер.
[16:35]<solo> Тогда:
1. Пользователь-вебмастер включается во все группы вабсерверов, которыми
он имеет права рулить.
2. Пользователь-вебмастер включается в группу webmaster.
3. umask для вебсерверов выставляется так, чтобы создаваемые ими файлы
имели права 664 (а не 644, как сейчас).
[16:36]<solo> Основной вопрос, который меня по этому поводу мучит --
насколько удобно данное решение, и покрывает ли оно большенство частных
случаев...
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , не давая ему root?
2008-09-04 12:23 ` Michael Shigorin
2008-09-04 12:50 ` Aleksey Avdeev
@ 2008-09-04 13:01 ` Veaceslav Grecea
2008-09-04 13:11 ` Veaceslav Grecea
2 siblings, 0 replies; 17+ messages in thread
From: Veaceslav Grecea @ 2008-09-04 13:01 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Четверг 04 сентября 2008, Michael Shigorin wrote:
> [из жабера]
>
> [15:13:20] <mike> по-хорошему -- пакет живёт в /usr/share/%name или
> /usr/lib/cgi-bin/%name [15:13:22] <mike> под рутом
> [15:13:46] <mike> а _копия_ кода со своим конфигом -- от имени вебмастера
> конкретного виртхоста в докруте этого вхоста
> [15:13:57] <mike> с симлинками и прочим скорее никак
> [15:14:17] <mike> если не симлинкать всё подряд, то так умеют на сейчас
> считанные единицы софта (например, typo3)
Лучше только конфиг на уровень выше докрута статического контента хоста.
А вместо симлинков (для сайтов) сделать так:
DocumentRoot "/var/www/webapps/<cms_name>/sites/<cms_id>/<site_name>"
DirectoryIndex start.php
Alias /start.php /usr/share/<cms_name>/docroot/start.php
AliasMatch ^/(bla-bla)$ "/usr/share/php/siafu/docroot/start.php/$1"
Разделяются точки входа админ-интерфейса cms и сайта как такового.
--
wbr, slavutich
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , не давая ему root?
2008-09-04 12:23 ` Michael Shigorin
2008-09-04 12:50 ` Aleksey Avdeev
2008-09-04 13:01 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , " Veaceslav Grecea
@ 2008-09-04 13:11 ` Veaceslav Grecea
2 siblings, 0 replies; 17+ messages in thread
From: Veaceslav Grecea @ 2008-09-04 13:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Четверг 04 сентября 2008, Michael Shigorin wrote:
> [из жабера]
>
> [15:13:20] <mike> по-хорошему -- пакет живёт в /usr/share/%name или
> /usr/lib/cgi-bin/%name [15:13:22] <mike> под рутом
> [15:13:46] <mike> а _копия_ кода со своим конфигом -- от имени вебмастера
> конкретного виртхоста в докруте этого вхоста
> [15:13:57] <mike> с симлинками и прочим скорее никак
> [15:14:17] <mike> если не симлинкать всё подряд, то так умеют на сейчас
> считанные единицы софта (например, typo3)
Только лучше конфиг вытащить на уровень выше докрута статического контента
хоста. А вместо симлинков (для сайтов) сделать так:
DocumentRoot "/var/www/webapps/<cms_name>/sites/<cms_id>/<site_name>"
DirectoryIndex start.php
Alias /start.php /usr/share/<cms_name>/docroot/start.php
AliasMatch ^/(bla-bla)$ "/usr/share/php/siafu/docroot/start.php/$1"
Разделяются точки входа админ-интерфейса cms и сайта как такового.
--
wbr, slavutich
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?
2008-09-04 12:50 ` Aleksey Avdeev
@ 2008-09-04 13:37 ` Michael Shigorin
2008-09-04 20:28 ` Aleksey Avdeev
0 siblings, 1 reply; 17+ messages in thread
From: Michael Shigorin @ 2008-09-04 13:37 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Thu, Sep 04, 2008 at 04:50:42PM +0400, Aleksey Avdeev wrote:
> >В пакете-то зачем? Пакету с веб-софтиной место в /usr/share обычно.
> 1. Промежуточное решение, до ввода в эксплуатацию менеджера виртуалхостов.
Не надо!
Лёш, эти промежуточные "решения" только добавляют головняка по
миграции с них.
Не бери на себя лишние обязательства, не умучаешься их выполнять.
Тут уж лучше руками, чем с автомата на автомат мигрировать.
Веб-софт ещё не дорос до автомата в основном, поэтому можно.
> [16:35]<solo> Тогда:
>
> 1. Пользователь-вебмастер включается во все группы вабсерверов, которыми
> он имеет права рулить.
>
> 2. Пользователь-вебмастер включается в группу webmaster.
>
> 3. umask для вебсерверов выставляется так, чтобы создаваемые ими файлы
> имели права 664 (а не 644, как сейчас).
> [16:36]<solo> Основной вопрос, который меня по этому поводу мучит --
> насколько удобно данное решение, и покрывает ли оно большенство частных
> случаев...
<mike> вроде резонно, вот про группы вебсерверов -- не всегда нужно
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root?
2008-09-04 13:37 ` Michael Shigorin
@ 2008-09-04 20:28 ` Aleksey Avdeev
0 siblings, 0 replies; 17+ messages in thread
From: Aleksey Avdeev @ 2008-09-04 20:28 UTC (permalink / raw)
To: shigorin, ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 1739 bytes --]
Michael Shigorin пишет:
> On Thu, Sep 04, 2008 at 04:50:42PM +0400, Aleksey Avdeev wrote:
>>> В пакете-то зачем? Пакету с веб-софтиной место в /usr/share обычно.
>> 1. Промежуточное решение, до ввода в эксплуатацию менеджера виртуалхостов.
>
> Не надо!
>
> Лёш, эти промежуточные "решения" только добавляют головняка по
> миграции с них.
Это сильно зависит от конкретики:
1. Прыжок в сторону, а потом следующий в другую -- да, добавляют.
2. Эволюционные шаги в одном направлении (без резких смен курса) --
облегчают движение.
В нашем же случаи, когда сразу достичь результата не представляется
возможным, движение мелкими шагами в сторону оптимума -- единственные
_реальный_ вариант. Но путь продумать надо заранее: если придётся резко
менять направление движения -- будет как раз описываемый тобой вариант.
>
> Не бери на себя лишние обязательства, не умучаешься их выполнять.
Если не мы, то кто? Делать-то надо...
>
> Тут уж лучше руками, чем с автомата на автомат мигрировать.
> Веб-софт ещё не дорос до автомата в основном, поэтому можно.
Проблема в том, что автомат (rpm) уже есть и для вебсофта он часто
мешает... Задача на сейчас (в моём понимании) -- снизить помехи от этого
автомата до разумного минимума: да, отмасштабировать на случай
виртуального хостинга rpm нельзя (это задача не его уровня), но
подоптимально решить задачу управления вебапами на синглхостинге вполне
можно. И такое решение позволит резко упростить создание идеального
автомата: т. к. задача сведётся к масштабированию текущего решения на
виртуальные хосты (задача для каждого из vhost будет отмечаться от уже
решённой только положением корня).
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]
^ permalink raw reply [flat|nested] 17+ messages in thread
end of thread, other threads:[~2008-09-04 20:28 UTC | newest]
Thread overview: 17+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-09-02 10:07 [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не давая ему root? Aleksey Avdeev
2008-09-02 10:23 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , " Yuri Bushmelev
2008-09-02 11:02 ` Aleksey Avdeev
2008-09-02 11:07 ` Yuri Bushmelev
2008-09-02 12:51 ` [Sysadmins] [devel] Q: [WebPolicy]: Как вебмастеру его права,не " Aleksey Avdeev
2008-09-03 5:43 ` [Sysadmins] " Vladimir V. Kamarzin
2008-09-03 8:53 ` Aleksey Avdeev
2008-09-03 10:20 ` Vladimir V. Kamarzin
2008-09-03 11:51 ` Aleksey Avdeev
2008-09-04 11:27 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права, не " Michael Shigorin
2008-09-04 11:36 ` Aleksey Avdeev
2008-09-04 12:23 ` Michael Shigorin
2008-09-04 12:50 ` Aleksey Avdeev
2008-09-04 13:37 ` Michael Shigorin
2008-09-04 20:28 ` Aleksey Avdeev
2008-09-04 13:01 ` [Sysadmins] Q: [WebPolicy]: Как вебмастеру его права , " Veaceslav Grecea
2008-09-04 13:11 ` Veaceslav Grecea
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git