[vmchecker-dev] [vmchecker-request] vmchecker + SD
Vlad Dogaru
ddvlad at herebedragons.ro
Tue Mar 11 11:51:18 EET 2014
On Tue, Mar 11, 2014 at 11:45:23AM +0200, Razvan Deaconescu wrote:
> Vlad Dogaru <ddvlad at herebedragons.ro> writes:
> > Path-ul până la teme e accesibil de oricine, iar temele sunt
> > world-readable.
> >
> > Problema am rezolvat-o cu toporu' acum câțiva ani folosind ACL-uri pe
> > directorul home. Iată un exemplu de la SO2:
> >
> > so2 at elf:~$ ls -ld /home/so2
> > drwxr-xr-x+ 31 so2 courses 4096 Mar 10 10:18 /home/so2
> >
> > so2 at elf:~$ getfacl /home/so2/
> > getfacl: Removing leading '/' from absolute path names
> > # file: home/so2/
> > # owner: so2
> > # group: courses
> > user::rwx
> > user:pa:---
> > user:sd:---
> > group::r-x
> > mask::r-x
> > other::r-x
> >
> > Urmăriți liniile 'user:pa', 'user:sd'.
> >
> > O abordare mai sensibilă ar ca temele să fie readable doar de owner
> > și/sau grup, dar ele sunt owned de www-data:www-data, iar cursurile sunt
> > în grupul www-data. So no-go.
>
> De ce sunt cursurile în grupul www-data? Nu e nevoie să fie. Putem să
> facem cu ACL-uri așa, pe directoarele vmchecker-storer-*
> * owner: so2, drepturi complete
> * group: fără drepturi
> * other: fără drepturi
> * user-ul www-data (doar user-ul nu și grupul) drepturi complete
Temele sunt uploadate în interfața web, care rulează ca www-data. Prin
urmare, arhivele vor avea și user www-data și grup www-data. Cursul
trebuie să fie în www-data pentru a putea face SSH și vedea temele.
Vlad "have my www-data call your www-data"
More information about the vmchecker-dev
mailing list