[ socketd @ 16.02.2013. 02:54 ] @
Pokušavam da nateram webserver da radi po sledećem scenariju.

Imam lokalnog korisnika pera i vhost pera.com. Perin home folder je /home/pera. Document root za pera.com bi trebao biti /home/pera/vhost/www. Ovo je cilj, sada vhost radi samo u /var/www/vhosts/pera.

Kada se pera loguje preko SSH, SFTP/FTP, mora biti ograničen samo na /home/pera. Chroot ili jail.. rbash mi nije sasvim odgovrajuće rešenje jer treba da može da koristi bash ali samo u svom folderu. Možda grešim?

Ako se izvršava aplikacija sa domena/vhost-a pera.com, apache treba da ima iste permisije kao pera. Ili... još bolje da apache može da čita samo document root od pera.com, a upisuje u dir kojem se setuje 777. Ima smisla ovo? Trenutno apache čita sve što je čitljivo za "ostale" po celom sistemu. To me baš plaši...

Delimično sam uspeo sa chroot u podešavanjima vsftpd-a. Za FTP to radi, ali za SFTP sam morao dodatno da podesim sshd sa Match User pera. Međutim, nešto sam kasnije pokvario pa mi SFTP ne radi. Takođe je sporan bio SELinux, pa sam privremeno uradio echo 0 > /selinux/enforce. To ću kasnije da podesim, prvo da shvatim šta uopšte treba da uradim.

Čačkao sam i jailkit, al' sam se izgubio.. ne znam kako da "oslobodim" korisnika. SSH login uopšte nije moguć. Trenutno čitam dokumentaciju.. pa možda nešto shvatim.

Da li imate savet, rešenje, pouzdan jednostavniji tutorial? Bitno mi je da otkrijem rešenje i razumem šta sam uradio, ali sve mi se čini da se vrtim u krug, a bilo bi ohrabrujuće da nešto konkretno postignem.
Da li su ove mere sigurnosti ok i da li bih možda trebao nešto da uradim drugačije?

Puno hvala, unapred.
[ tarla @ 18.02.2013. 21:06 ] @
Što se tiče apacha-a pogledaj suPHP i mod_fcgid