Bei der Frage geht es um bewährte Vorgehensweisen und nicht um ein konkretes Problem.
Was sind die richtigen Eigentümer und Berechtigungen für statische Websitedateien und -verzeichnisse? Ich werde root:<server-group>die Berechtigungen 640 für Dateien und 750 für Verzeichnisse verwenden. Der Server kann also aufgrund der Gruppenberechtigungen alles lesen, aber der normale Benutzer kann die Dateien nicht versehentlich oder absichtlich ändern, ohne explizit sudo zu verwenden.
Oder gibt es vielleicht eine bessere Vorgehensweise, die ich nicht kenne? Mein Ansatz sieht etwas zu kompliziert aus.
Antwort1
root ist nicht erforderlich, um zu verhindern, dass Benutzer Dateien ändern, für die andere verantwortlich sind. Dasselbe kann erreicht werden, indem einem nicht privilegierten Benutzer, beispielsweise einem Dienstbenutzer, der die Dateien synchronisiert, die Eigentümerschaft zugewiesen wird.
Idealerweise nicht der Benutzer, unter dem der Webserver läuft, und auch keine bestimmte Person, sondern nur ein Automatisierungsbenutzer, der Dateiübertragungen durchführt. Personen, die für den Inhalt verantwortlich sind, stellen Dateien auf einem Speicher bereit und kopieren sie, wenn sie bereit sind, die Dateiübertragung bereitzustellen. Es ist nicht erforderlich, dass Personen die Produktionswebserver berühren, und es sind keine besonderen Berechtigungen erforderlich.
Gehört root. Um Dateien neu zu strukturieren oder zu ändern, muss möglicherweise ein Administrator oder ein automatisiertes Skript root werden. Dies ist ein sehr hohes Privileg, das Sicherheitsmaßnahmen entfernen oder den Host anderweitig beschädigen kann.
Natürlich ist es sinnvoll, wenn Mount-Punkte oder Softwarepakete im Besitz von Root sind, sodass zum Ändern des Systems Berechtigungen erforderlich sind. Wenn sich beispielsweise der Inhalt einer Website unter /srv/www/example.net/ befindet, könnten /srv/ und /srv/www/ im Besitz von Root sein und Websites wie /srv/www/example.net/ im Besitz von nicht privilegierten Benutzern.