<div dir="ltr">Podle me tohle celkem dobre resi BaseDir v php.<br>Jinak ja treba bezim s userama pres nginx + uwsgi(php, python, ruby), kde si muzes hrat i s vlastnim chrootem, usery tahat z DB atd.<br>Muzes to taky cele zavrit do selinuxu, kde si prava nastavis.<br><br>Jinak -> kdyz nginx miri sam pouze na staticke soubory - nema kam uhnout<br>Nginx keca s php-fpm ktere serviruje jen php soubory (omezeni pres chroot, basedir). Pokud si nekdo sam chmodne soubory, je to jeho pruser (pripadne aplikace), ale i tak by se k nim nemel nikdo dostat.<br>Muzes klidne funkci chmod v php zakazat :)<br></div><div class="gmail_extra"><br><div class="gmail_quote">2016-02-23 17:31 GMT+01:00 Jirka Bourek <span dir="ltr"><<a href="mailto:vpsfree-list@keroub.cz" target="_blank">vpsfree-list@keroub.cz</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Jediné řešení, které mě napadlo je, že bych musel pro daný projekt<br>
vytvořit uživatele dva a jednu skupinu. Php-fpm pool by pak běžel pod<br>
"project-pool":"project", všechny soubory by ale vlastnil<br>
"project":"project". Skupina by měla přístup jen pro čtení a php-fpm<br>
pool by to nemohl změnit. Skupina by měla práva zápisu jen do složky<br>
"/tmp", aby si mohla aplikace vytvářet dočasné soubory.<br>
<br>
Jenže jsem na takové nastavení práv nikde nenarazil a tak nevím, jestli<br>
jsem to moc "nepřekombinoval" :-D<br>
</blockquote>
<br></span>
To je AFAIK jediná jednoduchá možnost.<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">S přáním pěkného dne,<br>Martin Mikšaník<br><br>gsm: +420 602 623 934<br>icq: 311047283<br></div>
</div>