Действительно ли возможно установить разрешение файла на моем апачском сервере так, чтобы файлы могли только быть считаны избранными пользователями?
Я не был бы ни при каком обстоятельстве выполненные профили роуминга в сочетании с основанным на VPN доступом.
Только разрешить условия: пользователь "профиль" является ВСЕМ материалом, который идет в соответствии с документами и настройками / пользовательская папка: ntuser.dat, локальные настройки, временное все это.
ntuser.dat хранит структуру данных реестра пользователя (все содержание в HKLM), и это абсолютно имело бы катастрофические последствия, если бы этот файл стал из синхронизации на различных компьютерах. Из-за этого заблокирован файл, когда пользователь зарегистрирован, и он не должен возможно делать никакого вида офлайновых файлов / backgrouns синхронизирующий с ним, потому что Вы, которых CAN НЕ пишет в него в интерактивном режиме, пока Вы зарегистрированы как тот пользователь.
Для противостояния этому Microsoft предприняла несколько попыток с помощью офлайновых файлов для определенных из папок, которые составляют профиль пользователя, например, "Мои документы", "Рабочий стол" и так далее.
После лет работы в точно подобных проектах вот мой "СПИСОК NOC" для использования роуминга / офлайнового использования, созданного пробной версией, ошибкой, разочарованием и значительными объемами пота:
Используйте Профили роуминга для: - фермы терминального сервера - Стандартизированные ПК "киоска" - настольные среды, где компьютеры совместно используются (университеты и так далее)
- никогда не используйте профили роуминга, если существует шанс, пользователь войдет в систему через медленный канал (например, VPN).
- никогда не используйте профили роуминга для ноутбуков
- Если необходимо скопировать профиль пользователя, изучают работу, сделанную консультантами по входу в систему (набор профиля гибкого провода Google) для получения некоторого вдохновения.
Относительно Офлайновых файлов: - если пользователь будет только использовать один ПК и офлайновые файлы, для документов проверки, поддерживаются до сервера, Windows XP прекрасен.
- Если пользователь смещается между несколькими компьютерами и нуждается в актуальной копии его/ее документов обо всех компьютерах, Офлайновый "механизм" в XP не достаточно хорош. Пойдите vista/win7 или купите сторонний материал.
Последний небольшой совет: Если эй ugo вперед с проектом, который включает бродящие профили / офлайновые файлы или общие черты; ПРОТЕСТИРУЙТЕ ТЕСТОВЫЙ ТЕСТ так, как Вы можете перед переключением.
Сделайте, чтобы консультанты работали в среде разработки и обработали развертывание на Вашей продуктивной среде сами, когда они поставят код, готовый пойти живые.
Любой другой подход будет иметь по крайней мере некоторый потенциал для консультантов для получения доступа для кодирования этого, Вы не хотите, чтобы у них был доступ к.
Apache получит доступ к файлам как к определенному пользователю ОС, обычно названному "www-данными" или подобный, принадлежа определенной группе ОС (обычно "www-данные" или подобный).
Если другие пользователи получают доступ к файлам через веб-сервер, Вам нужно некоторое управление доступом на уровне выше ОС одна (скажите, прикладной уровень). Например, Вы могли реализовать тривиальное управление доступом в php.
Если то, что Вы хотите, предотвращает других пользователей ОС для прямого доступа к файлам в файловой системе (не проходящий через веб-сервер), Вы могли просто дать разрешение чтения группе ОС к тому набору файлов и добавить/удалить пользователей ОС к той группе, согласно Вашим потребностям.
Примечание: Я только что интерпретировал Ваш вопрос, вызовите его, не было чрезвычайно ясно мне. Возможно, Вы могли разъясниться немного, для получения более соответствующих ответов.
Если Вы хотите защитить части своего приложения от любопытных глаз затем, необходимо, вероятно, рассмотреть использование кодера PHP (IonCube, и охрана Зенда популярный выбор). Не, что они требуют, чтобы Вы установили расширение декодера, поэтому если Вы находитесь на общем хостинге, удостоверяются, что Вы связываетесь со своим поставщиком услуг хостинга, чтобы видеть, является ли это эффективным решением для Вас.
Да - это тривиально.
Создайте группу для людей, у которых должно быть разрешение считать файлы и включать пользователя, Ваши выполнения веб-сервера так же затем устанавливают Ваши полномочия файла как rw-r----(0640) Примечание, что нет никакого способа предотвратить Сценарии PHP, записанные злодеями из чтения файлов все же.
C.
Это зависит от базовой операционной системы, от Unix этот вид ограничений полностью возможен.
Если Вы не хотите, доверяют им достаточно для чтения кода, к которому, по моему скромному мнению, лучший путь:
- Ограничьте доступ к целому апачскому серверу, особенно если это - продуктивная среда
- Заставьте их использовать SVN или другое программное обеспечение управления версиями и выбрать их код удаленно с Вашего сервера
- Реализуйте архитектуру для обслуживания широкого круга запросов, этот вид дизайна может быть хорошим к черному ящику некоторая часть. Настолько же долго как услуга ясно документируется и работает как ожидалось нет никакой потребности видеть базовый код для разработки с ним.