Estou tentando definir a ACL correta para todas as pastas usadas no meu servidor compartilhado. Dessa forma, outros usuários não poderão ler os arquivos uns dos outros. O que fiz até agora é o seguinte:
O proprietário de cada pasta do site pertence a um usuário e grupo separados:
ls -l crm
drwxr-x--- 3 crm crm 4096 Jan 6 04:54 crm
drwxr-x--- 3 mdf mdf 4096 Jan 8 00:26 mdf
drwxr-x--- 3 dba dba 4096 Jan 6 04:54 dba
As permissões são definidas como -rwxr-x---, então outros têm 0 permissão.
Mas como o apache ( www-data) precisa de permissão de execução, por padrão isso não funcionará ( error: AH00035).
Dessa forma, decidi usar setfacl e dar permissão de execução e leitura ao www-data:
setfacl -R -m u:www-data:rx /var/www/crm/
getfacl dará:
# file: crm
# owner: crm
# group: crm
user::rwx
user:www-data:r-x
group::r-x
mask::r-x
other::---
Agora o site funciona bem, mas não tenho certeza se o que fiz foi feito corretamente. Esse tipo de configuração será suficiente para impedir que os usuários leiam os arquivos uns dos outros?