[suse-linux-s] Permisos Apache
Buenas, Tengo una máquina con Apache2 montado. El tema es que hay varios usuarios con sus cositas. He habilitado un ftp (PureFTPd) para que los usuarios gestionen como quieran sus archivos. Lo que he hecho es poner usuarios virtuales, no de sistema (es decir, todos los usuarios son ftpuser:ftpgroup). Lo que ocurre es que, por defecto, todos los archivos que suben tienen permisos -rwx------ y eso da error en Apache al intentar acceder al contenido, evidentemente. Si los archivos tiene permisos completos no ocurre eso. A primeras pensé en cambiar el parámetro -U (umask) del servidor para que todo nuevo archivo subido coja los permisos deseados, pero va a ser que no funciona. ¿Qué me dejo en el tintero? Gracias por adelantado. -- Jordi Espasa Clofent PGP id 0xC5ABA76A #http://pgp.mit.edu/ FSF Associate Member id 4281 #http://www.fsf.org/
El Martes, 6 de Junio de 2006 16:22, Jordi Espasa Clofent escribió:
Buenas,
Tengo una máquina con Apache2 montado. El tema es que hay varios usuarios con sus cositas. He habilitado un ftp (PureFTPd) para que los usuarios gestionen como quieran sus archivos.
* Que mania con el ftp, algo bueno ha de tener cuando lo usa tanta gente......., instala un DMS sobre postgresql, servidor de documentacion (y ficheros y fotos y lo que te de la gana), DocMRG por ejemplo.
Lo que he hecho es poner usuarios virtuales, no de sistema (es decir, todos los usuarios son ftpuser:ftpgroup).
* Eso de que "usuarios" cuelguen sus cosas por apache no es nada bueno, lo suben a su directorio, respetuoso correo a webmaster solicitando su beneplacito y este hace y deshace a su conveniencia.
Lo que ocurre es que, por defecto, todos los archivos que suben tienen permisos -rwx------ y eso da error en Apache al intentar acceder al contenido, evidentemente.
* Da error por que esos permisos son para el usuario pepe y no para wwwrun.
Si los archivos tiene permisos completos no ocurre eso.
* Es que no deben tener permisos completos, suponiendo que no quieras tener problemas, los ficheros y directorios deberian ser propiedad y grupo como corra tu apache tipicamente wwwrun 700 para los ficheros y 750 para los directorios, una tarea cron podria hacerlo cada cierto tiempo.
A primeras pensé en cambiar el parámetro -U (umask) del servidor para que todo nuevo archivo subido coja los permisos deseados, pero va a ser que no funciona.
¿Qué me dejo en el tintero?
* El concepto de "servicio" a los usuarios, que es mucho menos amplio.
* Que mania con el ftp, algo bueno ha de tener cuando lo usa tanta gente......., instala un DMS sobre postgresql, servidor de documentacion (y ficheros y fotos y lo que te de la gana), DocMRG por ejemplo.
Consideré esa posibilidad, pero no. Y no por cuestiones técnicas, sino comerciales (ya sabes: quién paga manda)
* Eso de que "usuarios" cuelguen sus cosas por apache no es nada bueno, lo suben a su directorio, respetuoso correo a webmaster solicitando su beneplacito y este hace y deshace a su conveniencia.
Si, claro. Pero imagínate que tu contratas un servicio de hosting y tuvieras que pedirle permiso a alguien cada vez que quieres visualizar los cambios de turno que has hecho en la web... va a ser que no. Otra cosa es que eso se monte a diferente manera a como lo estoy haciendo yo, que pudiera ser.
* Es que no deben tener permisos completos, suponiendo que no quieras tener problemas, los ficheros y directorios deberian ser propiedad y grupo como corra tu apache tipicamente wwwrun 700 para los ficheros y 750 para los directorios, una tarea cron podria hacerlo cada cierto tiempo.
Si, pero repito: disponibilidad. No puede ser que el usuario Pepe suba nuevos archivos (PHP en este caso) y que resulte que tenga que "esperar" a que el tema de los permisos se actualice para poder ver los cambios efectuados. De todas maneras, existe en Pure-FTPd la utilidad pure-uploadscript que anda por ahí: cuando se suben archivos les aplica determinado script. Aunque, de todas maneras, estamos en lo mismo: * si los archivos tendrían que ser wwwrun/www y el usuario Pepe es ftpuser/ftpgroup hay conflicto.
* El concepto de "servicio" a los usuarios, que es mucho menos amplio.
¿Comol? Gracias. -- Jordi Espasa Clofent PGP id 0xC5ABA76A #http://pgp.mit.edu/ FSF Associate Member id 4281 #http://www.fsf.org/
El Miércoles, 7 de Junio de 2006 09:34, Jordi Espasa Clofent escribió:
Consideré esa posibilidad, pero no. Y no por cuestiones técnicas, sino comerciales (ya sabes: quién paga manda)
* ¿Estas seguro de esto?. Supongo que solo tienes un cliente y si no es asi estas dispuesto a que un cliente, suba scripts, mal programados, con unos tiempos de ejecucion y uso de cpu, sin medida, en detrimento de otros que tambien pagan, tu veras pero clientes asi, que quieren hacer lo que les de la gana, mejor recomendarselos a la competencia, ¿como piensas controlar esto?.
Si, claro. Pero imagínate que tu contratas un servicio de hosting y tuvieras que pedirle permiso a alguien cada vez que quieres visualizar los cambios de turno que has hecho en la web... va a ser que no.
* Tengo poca imaginacion, si es para un servicio de hosting dilo, un CMS multidominio sobre bases de datos, o en su defecto una aplicacion isp, de panel de control, cpanel, virtualmin, o algun otro basado en webmin. etc, estas aplicaciones las hay comerciales casi a medida, por unos 50 pavos....
Otra cosa es que eso se monte a diferente manera a como lo estoy haciendo yo, que pudiera ser.
Si, pero repito: disponibilidad. No puede ser que el usuario Pepe suba nuevos archivos (PHP en este caso) y que resulte que tenga que "esperar" a que el tema de los permisos se actualice para poder ver los cambios efectuados.
* Chequea las directivas por directorio de Apache y ACL's
El 06/06/2006 16:22:20 Jordi Espasa Clofent escribió: jordi.listas> A primeras pensé en cambiar el parámetro -U (umask) del servidor para que todo jordi.listas> nuevo archivo subido coja los permisos deseados, pero va a ser que no jordi.listas> funciona. jordi.listas> jordi.listas> ¿Qué me dejo en el tintero? Si los usuarios son pocos (10-15 por máquina) quizá deberías considerar la posibilidad de usar usuarios reales del sistema y gestionarlos con Webmin (eso da a cada usuario real su propio panel de USermin) Al usar usuarios virtuales triplicas y cuatriplicas la gestión de los mismos. (FTP, APACHE, BIND, POSTFIX ....) y te obligas a instalar una aplicación comercial para gestionar el espacio virtual para cada uno de ellos (cPanel o similares). El problema de los permisos te aparece precisamente por eso. En el caso de SuSE Apache usa el usuario wwwrun y los ficheros que se suben no le pertenecen. O das permisos de escritura y lectura para todos (chmod 777) lo que no veo nada aconsejable o cambias el sistema :-) En un sistema con usuarios reales Apache apunta a la carpeta /home y cada uno de sus subdirectorios es propiedad del usuario real. Pones los permisos en 755 para carpetas y 644 para ficheros y problema solucionado si el FTP está enjaulado. ... o al menos eso es lo que yo hago. :-) -- Saludos, Josep M. Queralt
Si los usuarios son pocos (10-15 por máquina) quizá deberías considerar la posibilidad de usar usuarios reales del sistema y gestionarlos con Webmin (eso da a cada usuario real su propio panel de USermin)
Al usar usuarios virtuales triplicas y cuatriplicas la gestión de los mismos. (FTP, APACHE, BIND, POSTFIX ....) y te obligas a instalar una aplicación comercial para gestionar el espacio virtual para cada uno de ellos (cPanel o similares).
Ajá.
El problema de los permisos te aparece precisamente por eso. En el caso de SuSE Apache usa el usuario wwwrun y los ficheros que se suben no le pertenecen. O das permisos de escritura y lectura para todos (chmod 777) lo que no veo nada aconsejable o cambias el sistema :-)
En un sistema con usuarios reales Apache apunta a la carpeta /home y cada uno de sus subdirectorios es propiedad del usuario real. Pones los permisos en 755 para carpetas y 644 para ficheros y problema solucionado si el FTP está enjaulado.
Si, lo he hecho y es una posible solucion.
... o al menos eso es lo que yo hago. :-)
;-) -- Jordi Espasa Clofent PGP id 0xC5ABA76A #http://pgp.mit.edu/ FSF Associate Member id 4281 #http://www.fsf.org/
participants (3)
-
Jordi Espasa Clofent
-
jose maria
-
Josep M. Queralt