Я использую ubuntu 16.04, с установленными apache и nginx
Мне нужна установка, в которой определенные каталоги (dir y) недоступны (нет прав на чтение, запись или выполнение) определенной группе пользователей (группа x)
Однако, группа x должна иметь возможность редактировать файлы конфигурации nginx и apache
В настоящее время apache и nginx запускаются от привилегированного пользователя, я подозреваю, что члены группы x могут иметь возможность редактировать файлы конфигурации для чтения содержимого dir y, правильно ли я думаю?
Если службы apache2 и nginx запускаются непривилегированным пользователем - членом группы x - это гарантирует, что член группы x не сможет прочитать содержимое каталога dir y?
Есть ли какие-то другие лазейки, от которых мне следует утомиться, чтобы гарантировать, что каталог y остается приватным?
Изменить: после некоторого тестирования пользователи группы x могут редактировать nginx.conf, установив для пользователя nginx значение ' root ', который позволяет отображать каталог
Я вижу два решения, убедившись, что хост-процесс nginx запущен как некорневой , что создало бы проблемы при привязке к портам 80 и 443
Или просто убедитесь, что группа x не может напрямую редактировать файл nginx.conf, возможно, я мог бы создать программу, которая может редактировать все, кроме свойства 'user'
Моим ответом на это было бы создание двух групп, так что группа Y будет иметь доступ только к каталогу Y,но Группа X будет включать в себя помещение более привилегированных пользователей в Группу Y и Группу X, чтобы они имели эффективный доступ к обоим рассматриваемым каталогам.