Администрирование и разграничение прав(посоветуйте как лучше

Модераторы: Art.i, vasya

Администрирование и разграничение прав(посоветуйте как лучше

Сообщение Timuridze » Пн ноя 10, 2008 11:18 am

Как сделать чтобы ftp доступ, был для директории /home. Вообще как лучше сделать, для конторы которая занимается web-дизайном? Ситуация такая в настоящее время создается домен для него ftp пользователь, доступ к этому фтп даётся дизайнеру, но это неудобно, например если дизайнер уходит приходится менять все пароли на фтп да и дизайнеру нужно помнить несколько паролей на ftp так как он может работать над несколькими проектами. Ситуацию с дизайнером я привёл как пример, на самом деле еще есть 1-2 программиста, верстальщика и т.д. И всем им нужно давать пароли от фтп.

Возникла идея разграничить права, то есть есть root, есть admin сервера, и есть учетка для ftp, которая даётся всем дизайнерам, программистам итп. Admin имеет права менять пароли на ftp, создавать удалять домены и подобное.
Как это можно организовать?
Timuridze
 
Сообщений: 40
Зарегистрирован: Пн дек 03, 2007 10:38 am

Re: Администрирование и разграничение прав(посоветуйте как л

Сообщение Phil » Пн ноя 10, 2008 11:27 am

Timuridze писал(а):Как это можно организовать?

Просто, прочитать документация на ISPmanager.
Ph-A
Phil
 
Сообщений: 124
Зарегистрирован: Пт дек 14, 2007 2:34 pm
Откуда: Moscow

Re: Администрирование и разграничение прав(посоветуйте как л

Сообщение Timuridze » Пн ноя 10, 2008 11:46 am

Phil писал(а):
Timuridze писал(а):Как это можно организовать?

Просто, прочитать документация на ISPmanager.


Читал, создать юзера с доступом в /home не могу, видимо не там читал. Ткните пожалуйста куда читать.
Timuridze
 
Сообщений: 40
Зарегистрирован: Пн дек 03, 2007 10:38 am

Сообщение garry » Пн ноя 10, 2008 2:27 pm

а вы создавайте все домены на одном акаунте,
тогда все файлы всех доменов будут по пути /home/account/.....
а на акакаунте уже сделайте сколько вам надо фтп пользователей с какимвам надо правами.

или есть какие-то требования по безопасности? что все сайты не должны работать под одним пользователем.

доступ ко всему /home может иметь только пользователь с правами рута.
garry
Консультант
 
Сообщений: 2241
Зарегистрирован: Сб дек 07, 2002 3:39 pm
Откуда: FirstVDS

Сообщение Timuridze » Пн ноя 10, 2008 2:38 pm

garry писал(а):а вы создавайте все домены на одном акаунте,
тогда все файлы всех доменов будут по пути /home/account/.....
а на акакаунте уже сделайте сколько вам надо фтп пользователей с какимвам надо правами.

или есть какие-то требования по безопасности? что все сайты не должны работать под одним пользователем.

доступ ко всему /home может иметь только пользователь с правами рута.


Отлично, а как все текущие домены сейчас привести к одному аккаунту?
Timuridze
 
Сообщений: 40
Зарегистрирован: Пн дек 03, 2007 10:38 am

Сообщение swg » Пн ноя 10, 2008 3:43 pm

ручной вариант )
создаете пользователя , далее по SSH , переносите ему все домены , chown на него , chmod там где надо , проверяете mysql базы , правите httpd.conf и т.д.

через панель )
там вроде у домена можно владельца сменить - видимо оно.
swg
флудит форум
 
Сообщений: 2384
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Сообщение garry » Пн ноя 10, 2008 3:45 pm

Timuridze писал(а):Отлично, а как все текущие домены сейчас привести к одному аккаунту?

Ручками в шеле, если не умеете обратитесь за помошью в нашу поддержку.
По другому никак, только удалять и создавать заново.
garry
Консультант
 
Сообщений: 2241
Зарегистрирован: Сб дек 07, 2002 3:39 pm
Откуда: FirstVDS

Сообщение Timuridze » Пн ноя 10, 2008 3:59 pm

swg писал(а):ручной вариант )
создаете пользователя , далее по SSH , переносите ему все домены , chown на него , chmod там где надо , проверяете mysql базы , правите httpd.conf и т.д.

через панель )
там вроде у домена можно владельца сменить - видимо оно.


Ручной вариант конечно побыстрее будет, чем через панель. Но я так понимаю панель может сломатся если в ручную копатся или нет?
Во втором варианте у домена владелец сменился, но месторасположение файлов к сожалению не меняется, а если в конфигах менять то опять риск того что панель не будет корректно обрабатывать изменения.
Timuridze
 
Сообщений: 40
Зарегистрирован: Пн дек 03, 2007 10:38 am

Сообщение Timuridze » Пн ноя 10, 2008 4:00 pm

garry писал(а):
Timuridze писал(а):Отлично, а как все текущие домены сейчас привести к одному аккаунту?

Ручками в шеле, если не умеете обратитесь за помошью в нашу поддержку.
По другому никак, только удалять и создавать заново.


Я наверно сам попробую, только вот панель не отвалится и отобразит корректно ли она изменения?
Timuridze
 
Сообщений: 40
Зарегистрирован: Пн дек 03, 2007 10:38 am

Сообщение swg » Пн ноя 10, 2008 5:57 pm

А тогда перенесите содержимое куда-нибудь подальше в /root и удалите и создайте заново домены. Только последите за mysql, чтоб там ничего не удалилось и правами потом.
swg
флудит форум
 
Сообщений: 2384
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Сообщение Timuridze » Ср ноя 19, 2008 4:10 pm

Благодоря техподдержке домены были успешно перенесены. Теперь всё выглядит так

____________________/САЙТ1
/home/user/data/www/САЙТ2
___________________/Сайт3

Встал вопрос о безопасности, то есть например злоумышленник закачивает на САЙТ1 вредоносный скрипт(php-шелл), как ограничить его пределами этого сайта или запретить выполнение некоторых команд от пхп.
Timuridze
 
Сообщений: 40
Зарегистрирован: Пн дек 03, 2007 10:38 am

Сообщение swg » Чт ноя 20, 2008 9:53 am

Предлагаю перенести сайты разным пользователям :-)
А вас ведь про требования безопасности спрашивали...
swg
флудит форум
 
Сообщений: 2384
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Сообщение Timuridze » Чт ноя 20, 2008 10:08 am

swg писал(а):Предлагаю перенести сайты разным пользователям :-)
А вас ведь про требования безопасности спрашивали...


Ухаха отличная идея :D . Да спрашивали. Но помнится когда у меня был аккауунт на hut1.ru, там тоже всё выглядело так же и лазить я мог по всем папкам, но сделать ничего не мог :( прав не хватало. Вот мне интересно как там было сделано.
Timuridze
 
Сообщений: 40
Зарегистрирован: Пн дек 03, 2007 10:38 am

Сообщение swg » Чт ноя 20, 2008 10:42 am

Так там, наверное, другим пользователям те файлы принадлежали. А смотреть их все могут.

Вам лучше надо подумать о командной работе, как вариант у меня правила такие
1. Один заказ = один аккаунт на сервере и в mysql. Если проектов у одного заказчика несколько, то все равно еще аккаунт. Причина - ими могут заниматься разные люди, как с нашей стороны, так и с его.
2. Дизайнер имеет доступ к папкам с шаблонами страниц, картинками и стилями. Если он их изменил, то перезагружает сайт (как обычный пользователь) и смотрит, что он сотворил. Скрипты в этих папках не выполняются.
3. Программист(ы) имеет доступ ко всему.
4. Если дизайнеру что-то надо он позвонит\скажет\попросит. Из 19 проектов этого года понадбилось 1 раз.
5. Заказчик иногда имеет FTP доступ к папке загрузок, в ней тоже скрипты не выполняются.
swg
флудит форум
 
Сообщений: 2384
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov


Вернуться в Администрирование пользователей

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron