epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
846
Hola a todos, tengo una consulta sobre los permisos (apache2) para la carpeta html y sus subcarpetas... cual es la forma razonable desde la seguridad para darle acceso a un desarrollador y que pueda crear una pagina?? me refiero, le creo un usuario (juanito) normal , lo podría meter en el grupo www-data y luego este grupo se lo asigno a la carpeta html con permiso 775??

si hago eso cada archivo y subcarpeta que cree quedaran como propietario "juanito"?? en el caso que se cambie y elimine esa cuenta que sucederá??

o creo un usuario genérico (web), lo meto en el grupo www-data y luego mantengo este usuario "web", pero que voy cambiando el key del ssh para que no pueda entrar el desarrollador antiguo??

o dejo a "web" y lo dejo como propietario y como grupo a la carpeta html sin hacer nada con "www-data"?


Gracias!
 

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
los permisos si están como 775 estaría bien , mientras no sea 777 o tenga algún grupo con muchos usuarios , sería seguro y tanto el usuario (vía FTP o sftp o web) podrá modificar archivos en el sitio
te recomendaría que usarán un acceso FTP ya que a veces se puede complicar la configuración del chroot de sftp , y podrían quedar con acceso a todo el filesystem del sistema

saludos
 
Upvote 0

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
los permisos si están como 775 estaría bien , mientras no sea 777 o tenga algún grupo con muchos usuarios , sería seguro y tanto el usuario (vía FTP o sftp o web) podrá modificar archivos en el sitio
te recomendaría que usarán un acceso FTP ya que a veces se puede complicar la configuración del chroot de sftp , y podrían quedar con acceso a todo el filesystem del sistema

saludos
no seai exagerao ohh , hay muchos manuales en internet pa el chroot + sftp y user sin consola , ademas el servicio de ssh no levanta si el directorio del chroot no esta bien configurado con los permisos

asi solo puede subir borrar archivos en el directorio asignado

Sent from my Redmi Note 8 Pro using Tapatalk
 
Upvote 0

hpf

Lector entusiasta
Miembro del Equipo
MOD
Se incorporó
7 Mayo 2011
Mensajes
370
De lo que ya escribió, y aparte, recomiendo:

- Otorgar permisos grupales
- Añadir aquel usuario al grupo (esto ayuda con la rotación de usuarios o mantenedores)
- Utilizar chroot

De todas formas, si usas apache2 entendería que lo levantarás en una distro debian based? Si es una basada en Red Hat, ten en cuenta selinux (para deshabilitarlo o manejar los contextos de forma correcta).

Manejarás VirtualHost? Has usado ACLs antes?

.
 
Upvote 0

epic

Pro
Se incorporó
11 Febrero 2007
Mensajes
846
ok entonces permiso 775 y user grupo

pero que pasa si luego el usuario es eliminado?? todos los archivos quedarían como propietario con el user que se elimino, bueno veré si hago la prueba mejor para validar bien eso y en caso que así sea, creare un user genérico.

ftp no es opción, solo por ssh y con key.

aun no se si se usaran Virtualhost supongo que si... eeehh ACLs poco, se que es mas granular para otorgar permisos.
 
Upvote 0

unreal4u

I solve problems.
Miembro del Equipo
ADMIN
Se incorporó
2 Octubre 2005
Mensajes
13.602
Yo que tu instalo git y haces la autorización por ahí, de esa forma ningún user tendrá acceso directo al server en producción, ya que el código lo podrás subir de forma automática mediante CI, ojalá via Docker para que tanto desarrolladores como tu server en producción tengan siempre exactamente el mismo stack. Tampoco introducirás problemas de seguridad abriendo servicios y archivos de esa forma.

Si un developer entra o se va, le quitas la llave pública a tu repositorio y listo: ya no podrá hacer nada con ese repo.

Pequeño PD si estás usando PHP es además recomendado usar PHP-FPM y NO mod_php, desde PHP 7.4 de hecho ya ni siquiera viene incluido. La gracia de esto es que apache (o mejor aún: nginx) hablará con un proceso de PHP que ejecutará la "página". Lo bueno es que como es un proceso, los archivos seguirán perteneciendo al usuario, si tienes múltiples usuarios los puedes dejar encasillados en su /home sin chroot ni cosas raras: sólo con permisos básicos de Linux.

Saludos.
 
Upvote 0
Subir