web-dev-qa-db-ja.com

Linuxは書き込み可能なディレクトリを再帰的に共有しました

ディレクトリをユーザーのグループに対して再帰的に読み取り/書き込み可能にするにはどうすればよいですか?

問題:

これはApacheが使用するディレクトリであるため、アクセス権はかなり厳密にする必要があります。私がそれを適切に機能させる唯一の方法は、ディレクトリをnfs共有としてマウントすることでした。これにより、uidとgidが特定のグループとuidに設定されます。しかし、これはハッキングのようであり、誰でもコンテンツを変更できますが、Apacheは「実際の」ディレクトリに対してかなり厳格なアクセス権を持っています。

私が試したこと:

Scp経由でディレクトリをコピーすると失敗するsetgidビットを試しました。 6つの異なる場所にumaskを設定しようとした後でも。そして、aclを使用するようにパーティションをインストールしてマウントしました。これは、scp/sftpでコピーするときにグループ権限で同じ問題が発生しました。

これは、私が満足のいく解決策を見つけられなかったような単純で深刻な問題のように思われるので、本当にイライラします。ここで明らかな何かが欠けていることを願っています。主にDebianスクイーズを使用します。

4
P Androidson

Chmod g + sと強制umasksを使用したソリューションは非常にうまく機能します。 sshd_configファイルでsftpサブシステムumaskを強制しましたか?

Subsystem sftp internal-sftp -u 0002
1
kupson

Sftpにある程度の柔軟性が必要な場合は、 mysecureshell を試してみてください。次のような権限オプションがあります。

DirFakeUser#実際のファイル/ディレクトリの所有者を非表示にします(表示されている権限を変更するだけです)

DirFakeGroup#実際のファイル/ディレクトリグループを非表示にします(表示されている権限を変更するだけです)

DirFakeMode#実際のファイル/ディレクトリの権限を非表示にします(表示されている権限を変更するだけです)

ForceGroup

0
ghm1014