So. Pro 21st, 2024

Přemýšlím nad těmi všemi, kteří něco dělají, dlouho to třeba předtím nedělali a najednou se k něčemu rozpracovanému vrátí a diví se, že jim to třeba nefunguje tak jak by si představovali. Na vině mohou být právě uživatelská práva a skupiny. Hlídejte si to!

Máme uživatele franta skupiny franta a chceme mu přiřadit jeho PRIMÁRNÍ skupinu jako www-data, nikoliv jakou nějakou sekundární apod… + máme spoustu souborů jeho webhostingu, jak to tedy udělat?

když má franta symlinknutý web (opět příklad) do /home/franta/www/ nahoďte mu následující příkazy, aby jemu vše fungovalo OK bez omezení a současně aby nemusel nikde dávat chmod 777.

chown franta /home/franta/www -R

(pakliže nejste již zajetí v daném adresáři, to by pak bylo jen www/ -R <- to -R znamená tedy rekurzivně). Apache používá (alespoň je to tak na debianech a ubuntích mutacích všeho druhu) usera pro apache se jménem www-data a skupinu www-data.

chgrp www-data /home/franta/www -R

opět platí to stejné, co v minulém adresáři, když jste v adresáři už dávno zajetí.

a potom mrkneme, ať můžem srovnávat na příkaz:

passwd -S franta;id franta;

(pokud nejste root, tak u prvního příkazu Vám to prostě na tvrdo napíše, že nemáte práva). Důležitý je pro Vás přesto stejně ten druhý řádek -> tedy příkaz id franta

Zjistíte nejspíš něco jako:

uid=1009(ugp) gid=1009(franta)

Aby to vypadalo nějak takto:

uid=1009(franta) gid=33(www-data) skupiny=33(www-data)

napište:

usermod -g www-data franta

(tím přidáte uživateli franta primární skupinu www-data. Pokud byste dali -G narozdíl od -g, tak mu to přidáte jako další neprimární skupinu)

Hodně štěstí a dávejte si pozor s Vaším linuxem na bezpečnost, jinak se Vám to vymstí. Používejte fail2ban, kontrolujte pravidelně pravidla ve firewallu, čtěte logy, co nepotřebujete, zakažte. Do administrací webů dávejte .htaccess soubory, ve kterých skutečně povolíte jen ty, které znáte a jejichž ip adresy či rozsahy znáte. Tím snížíte bezpečnostní riziko alespoň o trochu. Nepáchejte hlavně sebevraždu tím, že byste dávali někde chmod 777 na webovém adresáři, pakliže něco netestujete na chvilku a nemáte tam .htaccess s přístupem jen pro Vás.

 

Avatar

By mirra

Hardwaru a počítačům se věnuji již od roku 2003. Za tu dobu jsem poskládal stovky počítačů, opravil tisíce počítačů a vyřešil nespočetně problémů, vad a chyb, se kterými se setkávali uživatelé. Od roku 2005 se zabývám servery, zejména těmi herními, v roce 2007 jsem se začal věnovat Valve Source SDK level designu, který šel od roku 2009 k ledu kvůli studiu Informatiky na univerzitě. Podílel jsem se chvíli i na provozu síťové laboratoře MENDELU, dnes spravuji v jedné osobě cca 100 serverů/diskových polí na univerzitě, řeším IT v malých a středních firmách tak, aby firmy ušetřily nemalé částky při zlepšení kvality a soustředím se na snižování nákladů na IT od licencí až po hardware, software, provádím konsolidace a audity platnosti licencí, které firmám šetří rovněž nemalé peníze. Z velkých firem jsem měl příležitost s dalšími kolegy řešit správu 8000 serverů po celé západní Evropě s vysokou mírou automatizace a poznávání nejrůznějších evropských pracovních mentalit. Dále jsem řešil hybridní cloud ve velké firmě, orientované na trhy střední a východní Evropy. Posledních několik let se věnuji Devops pro velké zákazníky v Azure cloudu, spravuji kubernetes (AKS), Gitlab.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *