Права доступа к тюрьме apache userdir

Question

Права доступа к тюрьме apache userdir

В Debian 8 я запускаю apache2 в тюрьме, используя jailkit и мод userdir. В текущей настройке тюрьмы пользователи могут перейти в каталог другого пользователя, т.е.

/home/jail/home/anotheruser

и просматривать файлы в нем, но можно перемещаться по папкам

Я пытался сажать пользователей в их домашнюю папку, используя

chmod 0700 /home/jail/home/*

теперь, когда я пытаюсь перейти в каталог другого пользователя, я получаю

 Permission denied

Но теперь, когда я захожу на сайт пользователя, я получаю

You don't have permission to access / on this server.

Это сработало до того, как я сделал chmod. Итак, как я могу сажать пользователей в их дом, но при этом разрешать просмотр их сайтов?

Я попытался добавить www-данные в группу пользователей.

groups test
test : test

usermod -a -G www-data test
groups test
test : test www-data

Но все же получить разрешение отказано.

0

apache-2.4 jail mod-userdir jailkit

Источник

Lurch 13 апр '17 в 12:21

1 ответ

Другие вопросы по тегам apache-2.4 jail mod-userdir jailkit

symcbean 13 апр '17 в 13:57 2017-04-13 13:57 · Answer 1 · 2017-04-13 13:57

Я не очень понимаю, как настроена ваша текущая среда, но вы, кажется, путаете chroot ("jailkit") и разрешения.

Вы не упомянули нам что-нибудь об ОС, на которой она работает, хотя ваши пути и ссылки на jailkit предполагают систему Unix или Linux.

Люди часто воспринимают разрешения как способ предотвращения доступа, но их следует рассматривать как средство для разделения доступа определенным образом. Следовательно...

Многие такие системы создадут новую группу для каждого пользователя (и установят ее по умолчанию). Если это не так, добавьте эти группы просто. Если у вас есть эти группы и они используются по умолчанию для каждого пользователя, вам просто нужно добавить uid веб-сервера для каждой из групп, а затем обновить права доступа к каталогу на drwxr-x--- и доступ к файлу на -rw?r-?--- разрешить веб-серверу читать файлы, но не другим пользователям. Вы должны установить Umask пользователей соответственно. Тем не мение:

это может нарушить существующую модель разрешений, если у вас есть
если вы разрешаете пользователям запускать скрипты на веб-сервере (Perl, bash, PHP и т. д.), то для них тривиально обходить ограничения на доступ для чтения
если вы разрешаете только статический контент (при отсутствии HTTP-аутентификации), другие пользователи могут получать файлы с веб-сервера