Разрешения на чтение и запись для пользователя SSH и веб-сервера

Прежде всего, позвольте мне уточнить, что я искал через Ask Ubuntu и Stack Overflow, а также много гуглил, но не нашел конкретного решения моей проблемы.

Поэтому я настраиваю среду веб-хостинга на сервере Ubuntu. Сервер работает под Nginx как www-data пользователь. Проблема, в которой я застрял - это изоляция пользователей SSH.

С помощью установки в тюрьму я могу ограничить пользователя SSH своим собственным каталогом, но в то же время мне нужно предоставить веб-серверу доступ на запись в каталоги. Теперь, даже если пользователь находится в тюрьме, если он знает абсолютный путь к домашним каталогам любых других пользователей SSH (где веб-сервер имеет разрешения на запись), он сможет изменять содержимое (запись, удаление или что-либо еще) без каких-либо ограничение использования веб-сервера.

Например, пользователь может выполнить скрипт PHP из /var/userone/sites/alter.php лайк:

file_put_contents('Creating a file with this text', '/var/usertwo/sites/create.php');

создать новый файл create.php в домашнем каталоге usertwo. Я прав?

В этом сценарии, каков наилучший способ изолировать пользователей SSH, чтобы они не могли просматривать / читать каталоги друг друга, поддерживая работу веб-сервера без каких-либо проблем с разрешениями?

Любое правильное руководство будет высоко оценено.

0 ответов

Другие вопросы по тегам