Серверге пайдаланушы қосудан оңай болуы мүмкін бе? adduser
пәрменін консольге adduser
, пароль және басқа ақпарат туралы бірнеше сұраққа жауап бердім, мұнда сіз қабылданған логин мен парольмен кіре аласыз, файлдарды орналастырасыз және т.б.
Содан кейін, қолмен қалталарды жасау керек. Мысалы, бір сайт үшін. Екіншісі уақытша файлдар үшін, оларды жалпы / tmp қорғау мақсаттарына шығармау үшін. Тағы біреуі - егер Redis кэштауы конфигурацияланбаса , сессиялар үшін. Сондай-ақ, аутентификация үшін public ssh кілті сияқты қажетті конфигурация файлдарын көшіру қажет.
Мұның барлығы пайдаланушыларға жиі емес болса, жиі жасау керек болған кезде өте ыңғайлы процесс болады. Бақытымызға орай, көптеген параметрлерді, соның ішінде жасау кезінде негізгі параметрлерді (үй қалтасының орналасқан жерін, топты) және қосымша файлдарды - қажетті қалталарды, параметрлер файлдарын реттей аламыз.
Adduser пәрменімен анықталған бастапқы параметрлер /etc/adduser.conf файлынан алынады.
Үй қалтасын өзгерту
Бастапқыда барлық пайдаланушылардың үйдегі қалталары / home бөлімінде орналасқан. Бірақ, біз кез-келген басқа қалтаны пайдалана отырып, алдын-ала орынды ауыстыра аламыз, мысалы / var / www. Мұны істеу үшін DHOME
параметрін DHOME
.
DHOME = / var / www
SKEL=/etc/skel
параметріне назар аударыңыз. Ол әр пайдаланушы үшін параметрлер файлдары мен қалталардың қайдан көшірілетінін анықтайды. Әрине, сіз өзіңіздің серверіңіздің пайдаланушыларының қалталарында, .bashrc файлдарын көрдіңіз . Олар осы дереккөзден көшіріледі. :)
Пайдаланушыларды бір топқа қосыңыз
Әдепкі параметрлермен әр пайдаланушы үшін сол аттың жеке тобы жасалады. Бірақ веб-сервер үшін қауіпсіздік саясатын тиімді басқару үшін бірдей топқа әртүрлі пайдаланушыларды қосуға болады.
Пайдаланушы торап тораптарына жасалған кезде файлдарды өңдеу / жою құқығы тек оған тиесілі болуы керек. Веб-сервер, ол nginx немесе apache болсын, файлдарды ғана оқи алатын басқа пайдаланушының атынан іске қосылуы керек. Басқа пайдаланушылардың ешқандай құқықтары болмауы керек.
Бір топтағы барлық пайдаланушыларды қосу, біз сол топқа тек оқу үшін рұқсаттарды орнатамыз. Веб-серверді осы топтың атынан іске қосыңыз. Веб-сервер пайдаланушысын сайттар орналасқан пайдаланушы топтарына қосудан гөрі жақсы.
Жалпы топ www-data тобының пайдаланушысы болады. Ол веб-серверлерді іске қосу үшін арнайы жасалған, шектеулі құқықтарға ие және қабықты пайдалану мүмкін емес.
Adduser.conf файлында пайдаланушы жасау кезінде алдымен сол атау тобын жасауды өшіру керек.
USERGROUPS = жоқ
Содан кейін www-data тобының идентификаторын көрсетіңіз.
USERS_GID = 33
Әдетте, идентификатор - 33. Бірақ сіз root: id www-data
ретінде іске қосылатын пәрменді екі рет тексеруіңіз керек.
Және осы конфигурация файлында өзгертілетін соңғы параметр:
DIR_MODE = 0710
Ол пайдаланушы / var / www / username үй каталогының құқықтарын анықтайды. Мұнда файлдардың иесіне барлық әрекеттер рұқсат етіледі, тек топ үшін орындалады және басқаларға ешқандай құқық бермейді.
Белгілі бір пайдаланушыға және қосымша файлдарға арналған құқықтар
Енді бізге дұрыс құқықтарды беруді жалғастырамыз, бірақ бір пайдаланушыдан. Файлдар мен қалталарды жасаған кезде оларға дереу қажетті құқықтар берілді, .bashrc және .profile файлдарындағы umask
параметрін тиісінше өңдеңіз.
umask 027
Папкалар үшін бұл құқықтар 0750 ретінде түсіндіріледі, бұл иелерге арналған файлдармен жұмыс істеу, топқа оқу және орындау үшін мүмкіндік береді.
Ал 0640 файлдары үшін: меншік иесін оқу / өзгерту және тек топ үшін оқу. Linux- ге қатынау құқықтары туралы мақаланы өз бетімен оқуды ұсынамын.
Сондай-ақ, chmod пәрмені бар файлдар мен қалталардың құқықтарын жаңарту үшін / etc / skel каталогында ұмытпаңыз.
Соңында біз қосымша қалталарды жасаймыз: веб-сайттар үшін, уақытша файлдар, сеанстар және т.б. Ssh үшін ашық кілті бар authorized_keys файлы пайдаланушының .ssh қалтасында орналасуы керек. Нәтижесінде құрылым келесідей көрінеді:
/ etc / skel -ssh / --authorized_keys -сессондар / -tmp / -www / -Bashrc -профиль
Осының барлығы құрылатын кезде пайдаланушының үй каталогына көшіріледі.