내 공유 서버에서 사용되는 모든 폴더에 올바른 ACL을 설정하려고 합니다. 그렇게 하면 다른 사용자가 서로의 파일을 읽을 수 없게 됩니다. 지금까지 내가 한 일은 다음과 같습니다.
각 웹사이트 폴더의 소유자는 별도의 사용자 및 그룹이 소유합니다.
ls -l crm
drwxr-x--- 3 crm crm 4096 Jan 6 04:54 crm
drwxr-x--- 3 mdf mdf 4096 Jan 8 00:26 mdf
drwxr-x--- 3 dba dba 4096 Jan 6 04:54 dba
권한이 로 설정되어 있으므로 -rwxr-x---다른 사용자의 권한은 0입니다.
그러나 Apache( www-data)에는 실행 권한이 필요하므로 기본적으로 작동하지 않습니다( error: AH00035).
그런 식으로 나는 setfacl을 사용하고 www-data에 실행 및 읽기 권한을 부여하기로 결정했습니다.
setfacl -R -m u:www-data:rx /var/www/crm/
getfacl은 다음을 제공합니다:
# file: crm
# owner: crm
# group: crm
user::rwx
user:www-data:r-x
group::r-x
mask::r-x
other::---
이제 웹사이트는 잘 작동하지만, 제가 한 일이 제대로 되었는지 잘 모르겠습니다. 이러한 종류의 구성은 사용자가 서로 파일을 읽지 못하도록 격리하는 데 충분합니까?