Все время для того чтобы обеспечить загрузку файлов на сервер через веб-интерфейс я устанавливал для папки загрузки права 777, но меня беспокоит вопрос безопасности такого решения. Есть ли возможность использовать для загрузки папку с правами 775?
А что означает это 775 и чем отличается от 777 в плане доступа на запись по-вашему? Вы же в курсе, что это не просто циферки?
В курсе (хозяин, группа, все). Вы предлагаете поменять хозяина? Отличия в том, что редактировать нужно от имени пользователя системы, а загрузка от www-data. Кроме смены владельца есть еще какие-то решения? Хотя бы поделитесь опытом как вы обеспечиваете загрузку файлов на сервер через веб-интерфейс.
возможность есть. либо apache собранный с mpm-itk либо php-fpm запускаемый от нужного пользователя. и права тогда 751.
Почему 751? А как другие откроют папку без прав на запуск? (Наверное 755?) То-есть я могу создать еще одного пользователя, сделать его владельцем этой папки и запускать скрипт от его имени?
Почему нельзя всех, кому нужен доступ, выделить в общую группу-то? Отличия 775 от 777 только в том, что мимокрокодилам в 775 нельзя ничего писать. Для группы и владельца же правила в обоих случаях идентичны. Если у вас сервер работает от имени мимокрокодила, то это не проблема прав доступа
именно что 751. учи матчасть. в контексте файла r - чтение w - запись x - исполнение как программы в контексте каталога r - листинг каталога w - создание/удаление/перемещение вложенного нода x - переход в пространство каталога то есть если ты сделаешь 751 на /home и root:adm то админы смогут видеть список пользовательских каталогов, а пользователи - нет. при этом ни у одного пользователя ничего не отваливается потому что единица позволит ему дойти до своего /home/user. а на /home/user тоже надо делать 751 - пользователь может делать всё что угодно, его группа только бродить-читать но не создавать/удалять. а остальные - только войти в каталог могут. и так далее. можно на /home/user сделать и 750 - тогда остальные не смогут вообще входить в каталог и нижележащие ресурсы.
правильно выдает, потому что у тебя некий общий пользователь владеет процессом веб-сервера. я ведь это рекомендовал относительно совета обрабатывать запросы от частных пользователей-групп а не общесерверного ввв-дата.
Тогда и 1 не нужна) Можно 0 Вообще меня вариант с общей группой устраивает. Он довольно прост в исполнении.
единственная проблема общей группы в том что если кто-то получает доступ к любой учетной записи входящей в эту группу - он получает 7 на доступ к этим общим ресурсам. при изолированных пользователях-группах - он останется только с той песочницей которую взломал.