Estoy intentando configurar la ACL correcta para todas las carpetas utilizadas en mi servidor compartido. De esa forma, otros usuarios no podrán leer los archivos entre sí. Lo que hice hasta ahora es lo siguiente:
El propietario de cada carpeta del sitio web pertenece a un usuario y grupo separados:
ls -l crm
drwxr-x--- 3 crm crm 4096 Jan 6 04:54 crm
drwxr-x--- 3 mdf mdf 4096 Jan 8 00:26 mdf
drwxr-x--- 3 dba dba 4096 Jan 6 04:54 dba
Los permisos están establecidos en -rwxr-x---, por lo que otros tienen 0 permiso.
Pero debido a que Apache ( www-data) necesita permiso de ejecución, de forma predeterminada eso no funcionará ( error: AH00035).
De esa manera, decidí usar setfacl y otorgar permiso de ejecución y lectura a www-data:
setfacl -R -m u:www-data:rx /var/www/crm/
getfacl dará:
# file: crm
# owner: crm
# group: crm
user::rwx
user:www-data:r-x
group::r-x
mask::r-x
other::---
Ahora el sitio web funciona bien, pero no estoy seguro de si lo que hice se hizo correctamente. ¿Será este tipo de configuración suficiente para impedir que los usuarios lean archivos entre sí?