Debian Lenny 中的访问控制列表

Question

因此，对于在我的服务器上托管网站的客户，我创建用户帐户，并在 /home 内使用标准主文件夹。

我为所有的 SSH 监狱设置了一个 collective 用户，因为我真的反对使用单独的 FTP 服务器。然后，我安装了 ACL 并将 acl 添加到我的 /etc/fstab - 都好。

1. 我 CD 进入 /home 和 chmod 700 ./*.
   • 此时用户无法看到其他用户的主目录（耶），但 apache 也看不到它们（嘘）
   • . 。我跑了 setfacl u:www-data:rx ./*. 。我也尝试过单独的目录。
   • 现在 apache 可以再次看到这些站点，所有用户也可以。ACL 将主文件夹的权限更改为 750.

如何设置 ACL，以便 Apache 可以查看用户主文件夹中托管的站点以及 2.用户无法看到自己家外的情况和其他人的文件。

Answer 1

由于我交叉发布了这个问题（直到我提出问题之后我才知道 ServerFault），我将交叉发布答案，因为我个人认为这个问题适合两个社区。

hayalci（在 ServerFault 上）评论说

chmod 和 setfacl 不能很好地协同工作。

帮了很大忙。我没有使用 CHMOD 来阻止其他组访问数据，而是使用：

cd /home
setfacl -m g::0 joeuser # Removes permissions for the owning group.
setfacl -m g:www-data:r joeuser # Adds read permissions for Apache
cd joeuser/joeuser.com/static/
setfacl -m g:www-data:rwx uploads # So apache can write to the uploads directory.

Answer 2

我在共享盒子上使用的一个技巧是：

• 递归设置主目录的内容以不允许访问“其他”用户

  chmod -R o-rwx /home/*

• 将所有顶级用户的主目录权限设置为可由“其他”用户执行

  chmod o+x /home/*

• 将每个用户的 public_html 目录组更改为 www-data （或您的 apache 组）

  chgrp www-data /home/*/public_html

• 将 /home/*/public_html 下的所有目录更改为 setgid

  查找/home/user/public_html -type d -exec chmod 2750 {} \;

不要将任何用户添加到 www-data（或 apache 组）。即使它们不是成员，setgid 技巧仍然会使文件被 apache 读取。它不是完全可靠的（移动文件并不总是会更改组所有者，有时如果移动之前存在其他用户权限，则会保留），但它确实适用于我的盒子。希望这有所帮助！也许其他人会有更好的解决方案。

Answer 3

我的典型做法是假设所有用户都在“users”组中：

chmod 701 /home/*
chgrp users /home/*

可以选择对 /home 本身执行相同的操作，以防止用户看到主目录列表。但是，他们可以从 /etc/passwd 中提取几乎相同的列表或 getent passwd

现在，用户组中的每个人都将被拒绝访问所有主目录（除了他们自己的目录）。非成员用户（例如 Apache 和其他服务）仍然可以 cd 进入 homedirs，但无法执行 ls。

chmod 755 /home/*/public_html <- 替换为您使用的任何 www 路径

现在，Apache 和其他服务将可以免费使用 cd /home/foobar/public_html 来列出文件以及网络服务器所需的任何其他内容。