Правильное и безопасное распределение каталогов сайта и прав. chroot

Автор Pacman, 22 мая 2016, 12:58:36

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Pacman

Пока мало разбираюсь.
Связка nginx+php-fpm+chroot+wordpreess+несколько сайтов. VDS
Как работать с chroot правильно, и имеет ли это смысл и сильно ли повышается безопасность?

В общем как создать правильно каталоги nginx+chroot
Куда их будет лучше с точки зрения положить?


/home/www/site/
/var/www
urs/www
Пользователи группы и тп, в общем совсем запутался, может расскажите внятно что да как. Нужно ли группы новых пользователей создавать, давать права nginx и тп. Может гайд есть хороший.
И КАК это сделать?


Нашел такое описание в сети, но как это сделать и будет ли это хорошо. Прокомментируйте.
Цитировать
Но лично я на своих серверах предпочитаю связку nginx+php-fpm+chroot. Для каждого сайта рабочие процессы запускаются с правами владельца сайта, допустим u1:u1. На корневой директории сайта стоит 0710 и u1:nginx, на папке log 0770/u1:nginx. На всех остальных файлах стоят права 0640/u1:u1, на папках 0711/u1:u1. Если файл публичный, то он должен относиться к группе nginx. Ни какой php одного сайта ни чего не может прочесть в файлах другого.

Хоть это и пользовательский форум, может кто знает, или гайд годный встречал.
Обычно советают, создать группу и пользователя, но в Дебиэн уже автоматом создается nginx пользователь.. в общем бардак пока не понятно.

endru

зачем тебе chroot?
если к серверу не будут подключаться сторонние пользователи по ssh - chroot бесполезен.
разграничить права можно и штатными способами.

Pacman

Для того что бы PHP сценарии выполнячлся только в chrooted среде, на не в ОС.
Возможно и MySQL. Пока мало разбираюсь.
Другими словами, как понимаю даже если тем или иным способом взломают, то получат доступ к одному сайту на VDS а не другому и системе. Хотя посторюсь, пока смутно как это устроено.