这是一个创建于 3391 天前的主题,其中的信息可能已经有所发展或是发生改变。
站点文件与目录权限全部为 www 用户可读写,nginx 与 php 也是使用 www 账户跑的
目录和文件权限均为:
drwx------ 3 www www 4096 2015-01-17 17:47 my_site
那么这时候是不是将 www 用户的 home 目录改为 /my_site 并设置 www 账号密码
然后直接把 www 账号丢给前端开发人员即可?
这样做是否有什么隐患?或者有没更好的方式?
目录和文件权限均为:
drwx------ 3 www www 4096 2015-01-17 17:47 my_site
那么这时候是不是将 www 用户的 home 目录改为 /my_site 并设置 www 账号密码
然后直接把 www 账号丢给前端开发人员即可?
这样做是否有什么隐患?或者有没更好的方式?
 |
1
COSTRENGTH 2015-01-20 19:28:57 +08:00
你说的隐患指的是?
|
|
2
COSTRENGTH 2015-01-20 19:31:30 +08:00  1
我记得vsftpd和webdav都可以设置虚拟用户名密码吧,没必要给个系统账户。
还有都是一个公司的,如果非往坏了想,报复公司这种事,隐患最大的应该是运维人员吧……不知道我是不是想的太邪恶了…… |
 |
3
xxr3376 2015-01-20 19:32:01 +08:00 1
假如前端懂php写点恶意代码或者手抖改错了php怎么办= =。。。
最科学的还是要把前端用到的那些文件改成特定的group,然后给个frontend的账号加到这个group里吧。。 (话说为啥不是git写完了由你部署。。) |
 |
4
andybest OP @COSTRENGTH 谢谢,不是一个公司,外包人员协助修改,所以。。。虚拟账户比直接给他www哪方面会更安全?
@xxr3376 是说把前端用到的静态文件(排除.php文件)改成特定的 group ,然后给他这个group的专用账号吗? |
 |
5
iCodex 2015-01-20 19:46:41 +08:00 1
直接开chroot后的权限给他用。
|
 |
6
jacob 2015-01-20 19:48:57 +08:00 1
你给前端越少的权限,他做的活就越少,他成长的就越慢,别人的工作就越多,整个项目效率就越低。当然,给的越多,潜在的风险和麻烦越多,关键是像我这么好的前端不多。:-D。
|
|
7
COSTRENGTH 2015-01-20 19:51:00 +08:00 1
@andybest 虚拟账户没有本地账户那么大的权限,比如群组,默认进不了/home等等……不过外包的话还是小心点吧,被外包留后门挖矿的我之前的之前的公司见到过……
|
|
8
COSTRENGTH 2015-01-20 19:51:42 +08:00
@jacob 楼猪是给外包人员开账户……
|
|
9
jacob 2015-01-20 19:53:46 +08:00
|
|
10
COSTRENGTH 2015-01-20 19:55:19 +08:00
@jacob 想法不错~
|
|
11
andybest OP |
|
12
andybest OP @iCodex 谢谢,已设置 chroot_local_user=YES 锁定了用户仅能操作他自己的 home 目录
|
 |
13
ETiV 2015-01-20 20:08:33 +08:00 1
我的做法一般是单独给开一个账户, 然后在他的home 目录里创建目录. 他在里面随便写
再用 mount --bind /home/frontend/dev_site /wwwroot/site/dev/ 把这个目录给放到 www 下面去. |
 |
15
lemonda 2015-01-20 21:11:13 +08:00 1
我一般 passwd www 开个 sftp 账户
如果用 FTP 的话就在 /etc/passwd 中把 ftpuser 的 UID 改成和 www 一样 命令都是用 Root 运行 一直没仔细研究,感觉有安全隐患 |
 |
16
ratazzi 2015-01-20 21:53:27 +08:00
BTSync 挺适合
|
 |
17
jarlyyn 2015-01-20 22:47:13 +08:00 1
一般是website用户,加在www组,然后权限775/770,家目录设为web目录,开chroot
mount --bind一旦用户数多,重启后太麻烦了。 |
Select Language