Задать вопрос
gag_fenix
@gag_fenix
apache

Как лучше организовать sftp доступ к веб-серверу?

Дано: веб-сервер apache, файлы сайта принадлежат apache:apache, права в основном 0755.

Под каким пользователем лучше заходить по sftp?

Создать нового пользователя, поместить его в группу apache, сменить права доступа на 0775 и сменить umask?
Или изменить пользователя apache: добавить ему пароль и shell и заходить под ним?
Или какой-то более разумный вариант есть? Как лучше?
  • Вопрос задан
  • 4081 просмотр
Комментировать
Подписаться 8 Оценить Комментировать
Решения вопроса 1
alekciy
@alekciy
Вёбных дел мастер
Предположу, что используется PHP. Устанавливаем php-fpm и запускаем его его от требуемого пользователя. Это же юзеру даем и ssh. Как php-fpm так и ssh можно за-chroot-ить.

Можно и для apache делать рабочие процессы для каждого сайта из под своего юзера запускать. Но данный веб сервер очень давно не использую, деталей уже не припомню, но все есть в оф. документации.

Если сайт вообще один единственный (как-то на vps-е), то "пользователя apache: добавить ему пароль и shell и заходить под ним".
Ответ написан
2 комментария
2 комментария
Пригласить эксперта
Ответы на вопрос 4
@odmin4eg
У меня сделано так
стоит apache-itk
настроен sftp доступ с chroot
Домашняя папка пользователя = домашней папке виртуалхоста, апач воспринимает те фалы что созданы пользователем, если кто-то другой чисто гипотетически что-то сделает в его папке апач этого не выпустит на ружу.
Ответ написан
2 комментария
2 комментария
marchelly
@marchelly
Вот рабочее решение, в несколько копи-пейстов:
www.jamison.org/2010/12/04/how-to-configure-wordpress-for-automatic-ftps-updates-using-vsftp-in-ubuntu/
Да, оно для вордпресса, но это уже ни на что не влияет.
Ответ написан
Комментировать
Комментировать
Ernillew
@Ernillew
Администрирую *nix-системы с 1997 года
Про chroot чуть выше уже сказали
В /etc/ssh/sshd_config пишем что-то типа

Match User our-user ChrootDirectory /chroot AllowTCPForwarding no X11Forwarding no ForceCommand internal-sftp

у пользователя our-user ~ живет по адресу /chroot/our-user
в ней делаем директорию в которую мы хотим писать-читать
права на ~ делаем что-то типа our-user:www-data 6770
на нужном нам сервере монтируем по sshfs (sftp over fuse) конкретную директорию, а те кто попробуют вылезти далеко не уйдут ибо чрут и зайти этот юзер не может, ибо ForceCommand.

Примерно так.
Дальше можно самому покопать, если что можете постучать ко мне.
Ответ написан
3 комментария
3 комментария
@voffkared
Настроить sftp из под proftpd.
https://www.digitalocean.com/community/tutorials/h...
https://www.digitalocean.com/community/tutorials/h...
В процессе настройки:
DefaultRoot ~
Добавить нового пользователя в :apache с /bin/bash.

Если не соединяется то в конфиге proftpd проверить и добавить/закоментить:
UseFtpUsers off
# Set the user and group that the server normally runs at.
#User                           proftpd
#Group                          nogroup

Иначе смотреть в сторону selinux.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Разработчик хранилища данных (АС Персона)
Сбер Москва
от 300 000 ₽
Data инженер ДРУГ
Сбер Москва
от 250 000 ₽
Senior Data Scientist (NLP)
Крибрум Москва
от 270 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
УТ+CRM
26 апр. 2024, в 10:21
1200 руб./в час
Фулл стак Laravel + Vue.Js программист на доработку сайта агенства
26 апр. 2024, в 10:17
50000 руб./за проект
Написать тестовое Android приложение
26 апр. 2024, в 10:10
1000 руб./за проект
Ещё заказы