У меня есть сервер Debian Squeeze с панелью администратора EasySCP. Эта панель устанавливает папки домена в /var/www/virtual/domain.name
Каждый домен имеет уникальный идентификатор vu2000, vu2001... Право собственности на файлы в папках домена vu2000:vu2000 на domain1, vu2001:vu2001 на domain2 и так далее. Все отлично работает (апач, рут-доступ и тд).
Мне нужен пользователь SSH / SCP без полномочий root, который может читать и записывать все папки домена (рекурсивно) в /var/www/virtual (копировать, создавать файлы и т. д.). Только root может это сделать, я не хочу давать кому-то root-доступ из-за многих рисков безопасности.
Какую группу я должен установить, чтобы пользователь мог получать доступ и изменять файлы в папках домена? С участием www-data группа этот пользователь может читать, но не может писать. Как мне это настроить?
Вы можете использовать ACL, используя setacl команда
suku@ubuntu-vm:~$ ls -ld /test
drwxrwxr-x+ 2 root root 4096 Jan 4 20:55 /test
suku@ubuntu-vm:~$ sudo setfacl --recursive -m u:test:rwx /test
suku@ubuntu-vm:/test$ getfacl /test
getfacl: Removing leading '/' from absolute path names
# file: test
# owner: root
# group: root
user::rwx
user:test:rwx
group::r-x
mask::rwx
other::r-x
suku@ubuntu-vm:~$ sudo su - test
test@ubuntu-vm:~$ touch /test/a
test@ubuntu-vm:~$ ls -l /test/
total 0
-rw-rw-r-- 1 test test 0 Jan 4 20:58 a
страница руководства: http://manpages.ubuntu.com/manpages/gutsy/man1/setfacl.1.html
Если у вас нет команды setfacl, вы можете установить ее, используя следующую команду в ubuntu:
sudo apt-get install acl