Редактирование файлов в WWW

[jura12]

я ставлю модуль апачи usermod

[Xanych]

lexikon,
Вам в любом случае придется дать права на чтение other. Ибо создавать файлы от имени www-data, крайне не осмотрительно. Потому что если взломают apache, то потенциально смогут получить полный доступ к файлам сервера, в том числе и к php. Безопасность определяется не только правами к файлами, но и другими критериями, такие как:
1. Права доступа. Правильно розданные права повышают безопасность. Но это не панацея.Если хотите усилить защиту присмотритесь к ACL.
2. Firewall. iptables наш лучший друг. Правильно работающий firewall один из барьеров на пути злоумышленника. Не хотите возиться с iptables? Попробуйте firestarter(если X'ы работают).
3. Пользовательская политика. Юзеры, пароли и прочее. Сервисы запускайте от имени пользователя с наименьшими правами.
 И многое, многое другое. В мире нет ничего абсолютно безопасного. Если хотите абсолютную безопасность, то отключите сервер от всего что только можно, заприте в сейф, залейте бетоном и запустите на Юпитер. Там он будет в абсолютной безопасности.

[unimix]

Я например делаю так (на сервере разработки):

1. Себя добавляю в группу www-data. Свою дефолтную группу не меняю.
2. В /var/www на директории ставлю 2775, на файлы 0664. Группа www-data.
3. В PHP скриптах (которые создают директории и файлы) ставлю umask 0002. Также это позволяет php нормально управлять правами.
4. Если надо, то для себя (или другого пользователя, состоящего в группе www-data) также ставлю umask 0002.

В таком виде я могу редактировать директории и файлы с группой www-data, также как и PHP (тут не важно, кто создаёт файлы и директории). По умолчанию директории создаются с правами 2775, а файлы с 0664; владелец -- тот кто создал, а группа www-data.

Подробнее изучай: chmod, SGID, umask.

[lexikon]

unimix,
вот именно про такой вариант я и имел ввиду в первом посту, благодарю

Nerewar,
ну ест-но что нет ничего безопасного...
если взломают апач, как вы говорите, все действия, производимые злоумышленником, будут происходить от пользователя, запустившего сервер? правильно понимаю?
тогда добавления себя в группу этого пользователя выглядит безобидно вполне...вот и спрашиваю

[Дмитрий Бо]

ну ест-но что нет ничего безопасного...
если взломают апач, как вы говорите, все действия, производимые злоумышленником, будут происходить от пользователя, запустившего сервер? правильно понимаю?

Да, если не найдётся локальная уязвимость, позволяющая повысить привилегии. Но в рамках этого треда мы будем считать, что не найдётся

тогда добавления себя в группу этого пользователя выглядит безобидно вполне...вот и спрашиваю

Я бы так и сделал.

В итоге получилось?

[lexikon]

Дмитрий Бо,
да получилось, всё работает

[Сперанский]

Закрыто.