Linux Apache2

epic · 16 Junio 2020

Hola a todos, tengo una consulta sobre los permisos (apache2) para la carpeta html y sus subcarpetas... cual es la forma razonable desde la seguridad para darle acceso a un desarrollador y que pueda crear una pagina?? me refiero, le creo un usuario (juanito) normal , lo podría meter en el grupo www-data y luego este grupo se lo asigno a la carpeta html con permiso 775??

si hago eso cada archivo y subcarpeta que cree quedaran como propietario "juanito"?? en el caso que se cambie y elimine esa cuenta que sucederá??

o creo un usuario genérico (web), lo meto en el grupo www-data y luego mantengo este usuario "web", pero que voy cambiando el key del ssh para que no pueda entrar el desarrollador antiguo??

o dejo a "web" y lo dejo como propietario y como grupo a la carpeta html sin hacer nada con "www-data"?

Gracias!

Miguelwill · 17 Junio 2020

los permisos si están como 775 estaría bien , mientras no sea 777 o tenga algún grupo con muchos usuarios , sería seguro y tanto el usuario (vía FTP o sftp o web) podrá modificar archivos en el sitio
te recomendaría que usarán un acceso FTP ya que a veces se puede complicar la configuración del chroot de sftp , y podrían quedar con acceso a todo el filesystem del sistema

saludos

Eliezar · 17 Junio 2020

miguelwill dijo:
los permisos si están como 775 estaría bien , mientras no sea 777 o tenga algún grupo con muchos usuarios , sería seguro y tanto el usuario (vía FTP o sftp o web) podrá modificar archivos en el sitio
te recomendaría que usarán un acceso FTP ya que a veces se puede complicar la configuración del chroot de sftp , y podrían quedar con acceso a todo el filesystem del sistema

saludos

no seai exagerao ohh , hay muchos manuales en internet pa el chroot + sftp y user sin consola , ademas el servicio de ssh no levanta si el directorio del chroot no esta bien configurado con los permisos

asi solo puede subir borrar archivos en el directorio asignado

Sent from my Redmi Note 8 Pro using Tapatalk

hpf · 17 Junio 2020

De lo que ya escribió, y aparte, recomiendo:

- Otorgar permisos grupales
- Añadir aquel usuario al grupo (esto ayuda con la rotación de usuarios o mantenedores)
- Utilizar chroot

De todas formas, si usas apache2 entendería que lo levantarás en una distro debian based? Si es una basada en Red Hat, ten en cuenta selinux (para deshabilitarlo o manejar los contextos de forma correcta).

Manejarás VirtualHost? Has usado ACLs antes?

.

epic · 18 Junio 2020

ok entonces permiso 775 y user grupo

pero que pasa si luego el usuario es eliminado?? todos los archivos quedarían como propietario con el user que se elimino, bueno veré si hago la prueba mejor para validar bien eso y en caso que así sea, creare un user genérico.

ftp no es opción, solo por ssh y con key.

aun no se si se usaran Virtualhost supongo que si... eeehh ACLs poco, se que es mas granular para otorgar permisos.

unreal4u · 18 Junio 2020

Yo que tu instalo git y haces la autorización por ahí, de esa forma ningún user tendrá acceso directo al server en producción, ya que el código lo podrás subir de forma automática mediante CI, ojalá via Docker para que tanto desarrolladores como tu server en producción tengan siempre exactamente el mismo stack. Tampoco introducirás problemas de seguridad abriendo servicios y archivos de esa forma.

Si un developer entra o se va, le quitas la llave pública a tu repositorio y listo: ya no podrá hacer nada con ese repo.

Pequeño PD si estás usando PHP es además recomendado usar PHP-FPM y NO mod_php, desde PHP 7.4 de hecho ya ni siquiera viene incluido. La gracia de esto es que apache (o mejor aún: nginx) hablará con un proceso de PHP que ejecutará la "página". Lo bueno es que como es un proceso, los archivos seguirán perteneciendo al usuario, si tienes múltiples usuarios los puedes dejar encasillados en su /home sin chroot ni cosas raras: sólo con permisos básicos de Linux.

Saludos.

Linux Apache2

epic

Pro

Miguelwill

I am online

Eliezar

mi gato :D

hpf

Lector entusiasta

epic

Pro

unreal4u

I solve problems.