Podle me tohle celkem dobre resi BaseDir v php. Jinak ja treba bezim s userama pres nginx + uwsgi(php, python, ruby), kde si muzes hrat i s vlastnim chrootem, usery tahat z DB atd. Muzes to taky cele zavrit do selinuxu, kde si prava nastavis.
Jinak -> kdyz nginx miri sam pouze na staticke soubory - nema kam uhnout Nginx keca s php-fpm ktere serviruje jen php soubory (omezeni pres chroot, basedir). Pokud si nekdo sam chmodne soubory, je to jeho pruser (pripadne aplikace), ale i tak by se k nim nemel nikdo dostat. Muzes klidne funkci chmod v php zakazat :)
2016-02-23 17:31 GMT+01:00 Jirka Bourek vpsfree-list@keroub.cz:
Jediné řešení, které mě napadlo je, že bych musel pro daný projekt
vytvořit uživatele dva a jednu skupinu. Php-fpm pool by pak běžel pod "project-pool":"project", všechny soubory by ale vlastnil "project":"project". Skupina by měla přístup jen pro čtení a php-fpm pool by to nemohl změnit. Skupina by měla práva zápisu jen do složky "/tmp", aby si mohla aplikace vytvářet dočasné soubory.
Jenže jsem na takové nastavení práv nikde nenarazil a tak nevím, jestli jsem to moc "nepřekombinoval" :-D
To je AFAIK jediná jednoduchá možnost.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list