[Off] Du bon usage des droits utilisateurs sur un serveur

gbetous · l33t Joined: 15 Jan 2004 Posts: 679 Location: Toulouse

Bonjour,

J'ai un dédié qui traîne quelquepart sur l'Internet, et je voudrais en faire profiter quelques copains, pour qu'ils fassent leur site peinard. En plus ça me fait un échauffement en matière d'admin.

Jusqu'à présent, je fais comme suit :
- chacun a un vrai compte (comme ça accès ils ont aussi un accès ssh, et donc peuvent uploader des fichiers sans recourir au ftp)
- le serveur (nginx) et le fastcgi de php tournent sous les droits www:www
- pour chaque appli, je crée un répertoire dans /var/www et je donne les accès <user>:www

Après là ou c'est pas génial c'est que en fait les utilisateurs sont obligés parfois de changer les droits dans leur répertoire pour autoriser "www" à écrire par exemple, ou meme à lire (vu que ce qu'ils créent a des droits <user>:<user>).

Si vous avez une idée pour mieux gérer les droits à proposer, je prends !
_________________
Core2Quad Q6600
ASUS P5B-V (i965 video intégrée)
~amd64 / KDE

xaviermiller · Posted: Thu Feb 05, 2009 9:45 pm Post subject:

Salut,

Le mieux est d'installer des outils "control panel" touts faits et sûrs.
Il y en a des gratuits et des payants.

Par exemple http://www.syscp.org/ que j'utilise sur mon dédié

_________________
Kind regards,
Xavier Miller

gbetous · l33t Joined: 15 Jan 2004 Posts: 679 Location: Toulouse

Je viens d'y jeter un oeil, malheureusement il ne gère pas Nginx (je voudrais essayer d'éviter apache dans un premier temps, histoire de survivre un max sur mon petit serveur).
_________________
Core2Quad Q6600
ASUS P5B-V (i965 video intégrée)
~amd64 / KDE

xaviermiller · Posted: Sun Feb 08, 2009 3:38 pm Post subject:

Ben ouais syscp est pour LAMP
_________________
Kind regards,
Xavier Miller

gbetous · l33t Joined: 15 Jan 2004 Posts: 679 Location: Toulouse

Ouais donc grosso-modo t'as un peu tapé à côté quoi :wink:

En tous cas je retiens l'idée, il y a des chances pour que je passe sur Apache un jour où l'autre, et du coup j'hésiterai pas. Je connaissais pas du tout ce style de produit, il a l'air plutot bien foutu (et très complet !)
_________________
Core2Quad Q6600
ASUS P5B-V (i965 video intégrée)
~amd64 / KDE

kwenspc · Advocate Joined: 21 Sep 2003 Posts: 4954

Bizarre ton histoire, doit avoir moyen de régler le soucis d'un coup, sans passer par un outil pour re-regler les droits afin que www puisse écrire etc... Et donc tu devrais pouvoir garder nginx.

tu fais tourner chaque "site" de users en fastcgi, ça tourne sous le droit de l'utilisateur en question. (genre t'auras un process fastcgi pour le user truc, un autre pour le user bidule etc...) ça écoute sur localhost, chacun a son propre port. Et du coté de nginx il accède à chaque fastcgi selon chaque port (par rapport au site à acceder). Du coup tes users ajoutent/modifient/suppriment ce qu'il veulent avec leur user, pas besoin de changer les droits.

Regardes tu prends l'exemple http://wiki.codemongers.com/NginxFcgiExample au lieu du user/group "apache" comme indiqué tu fournis le user/group te ton utilisateur, tu fais tourner le spawn fastcgi avec et nginx de son côté y accède normalement. tu fais ça pour chaque site et zou. (ou regardes le tuto pour les cgi python http://wiki.codemongers.com/NginxSimplePythonFCGI )

Non?
_________________
membre officieux du SAV Ati GEntoo

guilc · Posted: Sun Feb 08, 2009 6:57 pm Post subject:

Solution :

1) tu ajoutes tes users au groupe www
2) tu colles un setgid sur le dossier web (chmod 2775 /var/www/blah) => les fichiers seront alors créés avec le groupe www
3) tu t'arranges pour avoir un umask 0002 au lieu du 0022 par défaut pour conserver l'attribut g+w au fil des modifications dans la sous-arbo /var/www/blah (moi perso, je ferais pas ça, je ferais le chmod g+w là ou il faut juste quand j'en ai besoin)

Et ça roule

_________________
Merci de respecter les règles du forum.

Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing

gbetous · l33t Joined: 15 Jan 2004 Posts: 679 Location: Toulouse

Argl, 2 solutions qui me semblent très bonnes !

Je vais essayer la 2nde qui utilise moins de process fcgi. De plus j'utilise le script spawn-fcgi qui est livré avec lighttpd et qui ne prévoit qu'un seul utilisateur (bon, je pourrais faire la modif, mais à choisir je préfère les solutions "out-of-the-book", bcp plus faciles à maintenir).

En tous cas merci à tous les 2

_________________
Core2Quad Q6600
ASUS P5B-V (i965 video intégrée)
~amd64 / KDE

kwenspc · Advocate Joined: 21 Sep 2003 Posts: 4954

c'est clair que quand t'as un truc comme ça ça surprend un peu:

gbetous · l33t Joined: 15 Jan 2004 Posts: 679 Location: Toulouse