ahojte, spravil som na jednom mnou spravovanom serveri skript na vytvaranie uzivatela a nasledny jail do daneho adresaru. vytvori mi to uzivatela grupu s rovnakym nazvom aj GID (cize UID = GID). v danom adresari konkretneho usera je wordpress, ktory ma vsak moralny problem napr. uploadovat subory, ci instalovat temy/pluginy/aktualizacie, ak je vlastnikom foldra/alebo existujuceho suboru dany uzivatel a nie www-data ... cize idealne by bolo :
a) priradit usera do skupiny www-root
b) priradit GID do skupiny www-root
c) pripradit uzivatela www-root do danej GID
d) nieco ine, prosim poradte.
este raz vdaka za akykolvek napad/namet/navrh/riesenie
Nechápem úplne čo potrebuješ, ale čo tak skúsiť chroot.
chroot tam praveze je. ide o to, ze z administracie wordpressu tam je problem vtedy zapisovat/uploadovat ...
Jasne pokiaľ www-root nemá práva na zápis tak to tam nezapíše, ty potrebuješ vytvoriť FTP aj WordPress účet naraz, ja som sa niekde stratil, asi mi nedopína, páč rozmýšľam že to dnes už zalomím.
presne tak.
Práva pre priečinky a súbory nastav na www-data a užívateľa pridaj do skupiny www-data.
pridal, zatial to funguje, ale nie je to najbezpecnejsie. musim to dotiahnut.
Predpokladam ze nastavenia prav pre zlozky, ktore vyzaduje WP mas uz spravene podla poziadaviek.
Problem je, ze WP data maju vlastnika uzivatela, ktory je ale v uplne inej grupe nez www-data a tym padom nema apache opravnenia zapisovat do priecinka a robit updaty a zmeny suborov. Pre skusku si skus na devserveri povolit rekurzivne 777 prava na zlozku s WP a ak to bude fungovat je problem prave v tomto.
Riesil by som to pridanim uzivatela do skupiny www-data a zmenenim tejto skupiny na jeho primarnu skupinu (bude tento uzivatel vyuzivany iba na pristup k datam stranky?). Potom prirad rekurzivne povolenia pre zapis pre grupu www-data na priecinok s wordpressom. Bezpecnost nebude super najlepsia a mozno bude mat niekto lepsi napad.
Jedna z nebezpecnych veci ktora ma hned napada je, ze ak chces tymto stylom spravit nejaky multihosting, tak sa ti dokazu uzivatela dostat do ostatnych priecinkov, co v pripade FTP vyriesis ich jailnutim v domovskom priecinku, ale ako to riesit v pripade apache ma nenapada.
hej, to som mal tie chmody kosher, problem je so skupinami a nasledne aj jail, ktory zjavne mi nefunguje ako ma.