Разрешения на чтение и запись для пользователя SSH и веб-сервера
Прежде всего, позвольте мне уточнить, что я искал через Ask Ubuntu и Stack Overflow, а также много гуглил, но не нашел конкретного решения моей проблемы.
Поэтому я настраиваю среду веб-хостинга на сервере Ubuntu. Сервер работает под Nginx как www-data
пользователь. Проблема, в которой я застрял - это изоляция пользователей SSH.
С помощью установки в тюрьму я могу ограничить пользователя SSH своим собственным каталогом, но в то же время мне нужно предоставить веб-серверу доступ на запись в каталоги. Теперь, даже если пользователь находится в тюрьме, если он знает абсолютный путь к домашним каталогам любых других пользователей SSH (где веб-сервер имеет разрешения на запись), он сможет изменять содержимое (запись, удаление или что-либо еще) без каких-либо ограничение использования веб-сервера.
Например, пользователь может выполнить скрипт PHP из /var/userone/sites/alter.php
лайк:
file_put_contents('Creating a file with this text', '/var/usertwo/sites/create.php');
создать новый файл create.php
в домашнем каталоге usertwo. Я прав?
В этом сценарии, каков наилучший способ изолировать пользователей SSH, чтобы они не могли просматривать / читать каталоги друг друга, поддерживая работу веб-сервера без каких-либо проблем с разрешениями?
Любое правильное руководство будет высоко оценено.