Michael Shigorin пишет:
On Thu, Sep 04, 2008 at 03:36:06PM +0400, Aleksey Avdeev wrote:1. Есть файлы которые имеют права создавать/редактировать как вебсервер так и webmaster.Как правило, они принадлежат пользователю %вебсервер и группе %вебмастер, при этом запись разрешена и владельцу, и группе.Это характерно для файлов созданных вебсервером в процессе работы. Если файл с такими правами содержится в пакете -- получаем противоречие со ссылкой приведённой выше (т. к. файлом владеет псевдопользователь).В пакете-то зачем? Пакету с веб-софтиной место в /usr/share обычно. Посмотри Debian webapp policy.
1. Промежуточное решение, до ввода в эксплуатацию менеджера виртуалхостов.2. Отладить часть функционала вышеозначенного менеджера, до его фактического написания. Реализация на базе rpm позволит:
а) уже сейчас понять а что собственно нам нужно;б) отложить реализацию установки/обновления вебаппов (наиболее трудоёмкая часть) без блокировки более простой задачи (управление правами в /var/www/).
[из жабера] [15:13:20] <mike> по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name [15:13:22] <mike> под рутом [15:13:46] <mike> а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхоста [15:13:57] <mike> с симлинками и прочим скорее никак [15:14:17] <mike> если не симлинкать всё подряд, то так умеют на сейчас считанные единицы софта (например, typo3) [15:14:40] <solo>по-хорошему -- пакет живёт в /usr/share/%name или /usr/lib/cgi-bin/%name под рутомС этим -- согласен полностью. [15:15:26] <mike> собсно с вебполиси половина мороки -- про разные серверы и то, что они часть умеют "одинаково", часть "по-своему" [15:15:45] <mike> а большая половина -- как раз про application deployment/upgrade [15:16:10] <solo>а _копия_ кода со своим конфигом -- от имени вебмастера конкретного виртхоста в докруте этого вхостаА сдесь -- проблема вебмастера и выползает. (Особенно -- если это не виртхост.) [15:16:11] <mike> с учётом уровня развития нонешнего вебсофта как линуксового в 93 -- "вот здесь подправить, вот здесь добавить" [15:18:15] <solo> Основная проблема в singlхосте (или как там его правельно) -- при установке пакета (и особенно, при его сборке) мы незнаем кто (какой пользователь) будет вебмастером. [15:18:33] <mike> и не надо [15:18:48] <mike> надо иметь возможность указать группу [15:18:59] <solo> Болие того -- пользователей с правами вебмастера может быть несколько (возможно я сдесь перегибаю палку). [15:19:07] <mike> которая рулит виртхостом (дальше -- и конкретным аппом при нужде) [15:20:04] <solo>надо иметь возможность указать группуТакая возможность есть. И я _сильно_ хочу ей и ограничится (чтобы некого псевдо root`а не заводить).
[продолжение банкета][16:27]<solo> А раз псевдо root`а не заводим, то получается что принадлежащих ему файлов/каталогов в пакете быть недолжно. И максиум к чему мы можем тогда привязываться -- это г руппам. [16:29]<solo> Но для решения данной задачи руления только групавыми провами недостаточно: как миниум нужны файлы доступные группе _webserver на чтение и группе webmaster на запись... [16:31]<solo> Как вариант решения возможен переход к парадигме: то что может редактировать вабсервер -- может редактировать и вебмастер.
[16:35]<solo> Тогда:1. Пользователь-вебмастер включается во все группы вабсерверов, которыми он имеет права рулить.
2. Пользователь-вебмастер включается в группу webmaster.3. umask для вебсерверов выставляется так, чтобы создаваемые ими файлы имели права 664 (а не 644, как сейчас). [16:36]<solo> Основной вопрос, который меня по этому поводу мучит -- насколько удобно данное решение, и покрывает ли оно большенство частных случаев...
-- С уважением. Алексей.
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
