Назад | Перейти на главную страницу

Как я могу сделать каталог полностью приватным для определенной группы пользователей?

Я запускаю веб-сервер ubuntu 16.04 с установленными apache и nginx

Мне нужна настройка, в которой определенные каталоги (dir y) недоступны (нет разрешений на чтение, запись или выполнение) для определенной группы пользователей (группа x)

Однако группа x должна иметь возможность редактировать файлы конфигурации nginx и apache.

В настоящее время apache и nginx запускаются от привилегированного пользователя, я подозреваю, что члены группы x могут редактировать файлы конфигурации, чтобы читать содержимое каталога y, правильно ли я думаю?

Если службы apache2 и nginx запускаются непривилегированным пользователем - членом группы x - будет ли это гарантировать, что член группы x не сможет прочитать содержимое каталога y?

Есть ли еще какие-нибудь лазейки, от которых мне следует устать, чтобы убедиться, что dir y остается конфиденциальным?


Изменить: после некоторого тестирования пользователи группы x могут редактировать nginx.conf, устанавливая для пользователя nginx значение «root», что позволяет отображать каталог y.

Я вижу два решения: убедитесь, что хост-процесс nginx запущен как не root, что может создать проблемы при привязке к портам 80 и 443.

Или просто убедитесь, что группа x не может напрямую редактировать файл nginx.conf, возможно, я мог бы создать программу, которая может редактировать все, кроме свойства 'user'

Моим ответом на это было бы создание двух групп, так что группа Y будет иметь доступ только к каталогу Y, а группа X будет включать размещение более привилегированных пользователей в группе Y и группе X, чтобы они фактически имели доступ к обоим каталогам в вопрос.