我有一个 Web 服务器,Apache 以 www-data 的形式运行。使用 chef 设置用户,并将他们的一些文件/文件夹权限设置为组:www-data,例如上传文件夹。
部署通过 Capistrano 使用用户帐户完成。如果在部署期间,Capistrano 还可以将文件/文件夹组更改为 www-data,那将很有用。
我该如何配置它,同时保持安全性?我正在考虑在 sudoers 文件中添加一个条目,允许<user>执行chgrp www-data /home/<user>/*,同时确保命令不包含..。
答案1
最好编写一个脚本并在 sudoers 中启用它。如果您的用户只需要在他们的主目录中对 * 运行它,那么可以像下面这样简单。它利用了 SUDO_USER 环境变量,您可以在此处找到更多信息:http://www.sudo.ws/sudo/sudo.man.html#environment
chgrp www-data /home/`echo $SUDO_USER`/*
我还没有测试过这个但它原则上应该可行。