Debian Lenny 中的访问控制列表
-
12-09-2019 - |
题
因此,对于在我的服务器上托管网站的客户,我创建用户帐户,并在 /home 内使用标准主文件夹。
我为所有的 SSH 监狱设置了一个 collective
用户,因为我真的反对使用单独的 FTP 服务器。然后,我安装了 ACL 并将 acl 添加到我的 /etc/fstab
- 都好。
- 我 CD 进入
/home
和chmod 700 ./*
.- 此时用户无法看到其他用户的主目录(耶),但 apache 也看不到它们(嘘)
- . 。我跑了
setfacl u:www-data:rx ./*
. 。我也尝试过单独的目录。 - 现在 apache 可以再次看到这些站点,所有用户也可以。ACL 将主文件夹的权限更改为
750
.
如何设置 ACL,以便 Apache 可以查看用户主文件夹中托管的站点以及 2.用户无法看到自己家外的情况和其他人的文件。
解决方案
由于我交叉发布了这个问题(直到我提出问题之后我才知道 ServerFault),我将交叉发布答案,因为我个人认为这个问题适合两个社区。
hayalci(在 ServerFault 上)评论说
chmod 和 setfacl 不能很好地协同工作。
帮了很大忙。我没有使用 CHMOD 来阻止其他组访问数据,而是使用:
cd /home
setfacl -m g::0 joeuser # Removes permissions for the owning group.
setfacl -m g:www-data:r joeuser # Adds read permissions for Apache
cd joeuser/joeuser.com/static/
setfacl -m g:www-data:rwx uploads # So apache can write to the uploads directory.
其他提示
我在共享盒子上使用的一个技巧是:
递归设置主目录的内容以不允许访问“其他”用户
chmod -R o-rwx /home/*
将所有顶级用户的主目录权限设置为可由“其他”用户执行
chmod o+x /home/*
将每个用户的 public_html 目录组更改为 www-data (或您的 apache 组)
chgrp www-data /home/*/public_html
将 /home/*/public_html 下的所有目录更改为 setgid
查找/home/user/public_html -type d -exec chmod 2750 {} \;
不要将任何用户添加到 www-data(或 apache 组)。即使它们不是成员,setgid 技巧仍然会使文件被 apache 读取。它不是完全可靠的(移动文件并不总是会更改组所有者,有时如果移动之前存在其他用户权限,则会保留),但它确实适用于我的盒子。希望这有所帮助!也许其他人会有更好的解决方案。
我的典型做法是假设所有用户都在“users”组中:
chmod 701 /home/*
chgrp users /home/*
可以选择对 /home 本身执行相同的操作,以防止用户看到主目录列表。但是,他们可以从 /etc/passwd 中提取几乎相同的列表或 getent passwd
现在,用户组中的每个人都将被拒绝访问所有主目录(除了他们自己的目录)。非成员用户(例如 Apache 和其他服务)仍然可以 cd 进入 homedirs,但无法执行 ls。
chmod 755 /home/*/public_html
<- 替换为您使用的任何 www 路径
现在,Apache 和其他服务将可以免费使用 cd /home/foobar/public_html 来列出文件以及网络服务器所需的任何其他内容。