Я запускаю веб-сервер ubuntu 16.04 с установленными apache и nginx
Мне нужна настройка, в которой определенные каталоги (dir y) недоступны (нет разрешений на чтение, запись или выполнение) для определенной группы пользователей (группа x)
Однако группа x должна иметь возможность редактировать файлы конфигурации nginx и apache.
В настоящее время apache и nginx запускаются от привилегированного пользователя, я подозреваю, что члены группы x могут редактировать файлы конфигурации, чтобы читать содержимое каталога y, правильно ли я думаю?
Если службы apache2 и nginx запускаются непривилегированным пользователем - членом группы x - будет ли это гарантировать, что член группы x не сможет прочитать содержимое каталога y?
Есть ли еще какие-нибудь лазейки, от которых мне следует устать, чтобы убедиться, что dir y остается конфиденциальным?
Изменить: после некоторого тестирования пользователи группы x могут редактировать nginx.conf, устанавливая для пользователя nginx значение «root», что позволяет отображать каталог y.
Я вижу два решения: убедитесь, что хост-процесс nginx запущен как не root, что может создать проблемы при привязке к портам 80 и 443.
Или просто убедитесь, что группа x не может напрямую редактировать файл nginx.conf, возможно, я мог бы создать программу, которая может редактировать все, кроме свойства 'user'
Моим ответом на это было бы создание двух групп, так что группа Y будет иметь доступ только к каталогу Y, а группа X будет включать размещение более привилегированных пользователей в группе Y и группе X, чтобы они фактически имели доступ к обоим каталогам в вопрос.