Автор Тема: Правильное и безопасное распределение каталогов сайта и прав. chroot  (Прочитано 1185 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Pacman

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 68
Пока мало разбираюсь.
Связка nginx+php-fpm+chroot+wordpreess+несколько сайтов. VDS
Как работать с chroot правильно, и имеет ли это смысл и сильно ли повышается безопасность?

В общем как создать правильно каталоги nginx+chroot
Куда их будет лучше с точки зрения положить?


/home/www/site/
/var/www
urs/www
Пользователи группы и тп, в общем совсем запутался, может расскажите внятно что да как. Нужно ли группы новых пользователей создавать, давать права nginx и тп. Может гайд есть хороший.
И КАК это сделать?


Нашел такое описание в сети, но как это сделать и будет ли это хорошо. Прокомментируйте.
Цитировать
Но лично я на своих серверах предпочитаю связку nginx+php-fpm+chroot. Для каждого сайта рабочие процессы запускаются с правами владельца сайта, допустим u1:u1. На корневой директории сайта стоит 0710 и u1:nginx, на папке log 0770/u1:nginx. На всех остальных файлах стоят права 0640/u1:u1, на папках 0711/u1:u1. Если файл публичный, то он должен относиться к группе nginx. Ни какой php одного сайта ни чего не может прочесть в файлах другого.

Хоть это и пользовательский форум, может кто знает, или гайд годный встречал.
Обычно советают, создать группу и пользователя, но в Дебиэн уже автоматом создается nginx пользователь.. в общем бардак пока не понятно.
 

Оффлайн endru

  • Главный модератор
  • Ветеран
  • *****
  • Сообщений: 1835
  • Новосибирск
  • Jabber: endru@jabber.ru
зачем тебе chroot?
если к серверу не будут подключаться сторонние пользователи по ssh - chroot бесполезен.
разграничить права можно и штатными способами.

Оффлайн Pacman

  • Активный пользователь
  • **
  • Topic Author
  • Сообщений: 68
Для того что бы PHP сценарии выполнячлся только в chrooted среде, на не в ОС.
Возможно и MySQL. Пока мало разбираюсь.
Другими словами, как понимаю даже если тем или иным способом взломают, то получат доступ к одному сайту на VDS а не другому и системе. Хотя посторюсь, пока смутно как это устроено.
 


Теги: