Полномочия Linux в/var/www: Какие настройки я могу использовать практику безопасности во благо и все еще поддержать доступность?

Давным-давно я пришел к выводу, что лучший способ поделиться веб-проектом между группой пользователей - это заставить их использовать sudo или ssh чтобы всегда входить в систему как один пользователь-разработчик, используемый для всех файлов проекта. Если вам нужно отслеживать изменения отдельных разработчиков, лучше позволить им работать в их собственных средах, и вышеизложенное будет применяться к разработке релизов, а не к разработчикам.

С помощью sudo вы можете предоставить разрешения для доступа пользователя в системную группу, а затем добавить пользователей в группу. С ssh вам нужно добавить ключи SSH пользователя непосредственно к пользователю разработчика .ssh / authorized_keys .

До этого я пробовал много методов, использующих разрешения и черновики ACL posix, но они оказались быть бесполезным. В частности, установка бита выполнения в файле зарезервирована для владельца, поэтому я предпочитаю, чтобы все пользователи переключались на UID владельца перед внесением каких-либо изменений.

У них также есть представление о проекте, над которым они работают, и домашнем каталоге, поэтому гораздо проще поддерживать общие ресурсы.

Затем приложение может работать под другим пользователем (возможно, в той же группе), который имеет доступ только для чтения к данным, за исключением каталогов, которые вы упомянули. В более или менее однопользовательской среде вам не понадобится липкий бит. Он предназначен для защиты файлов в каталогах tmp от лиц, не являющихся владельцами.

Теоретическим решением является использование мощной системы ACL, такой как списки ACL NFSv4, но встроенная поддержка для этого обычно недоступна. Есть патчи, но вы, вероятно, не