https://maxkuznetsov.ru/tags/linux/ Простыми словами о веб-разработке Максим Кузнецов ru E2 (v3559; Aegea) Максим Кузнецов Простыми словами о веб-разработке 38 https://maxkuznetsov.ru/all/deployment-users/ Fri, 27 Nov 2020 04:17:56 +0300 Максим Кузнецов https://maxkuznetsov.ru/all/deployment-users/ <h3>Проблема</h3> <p>Под <tt>root</tt>-пользователем работать небезопасно, равно как и делать весь проект доступным <tt>www-data</tt>.<br /> Кроме того, во многих веб-приложениях пользователи имеют возможность загружать свои файлы. И очень часто с такими файлами возникают конфликты, так как пишутся они под <tt>www-data:www-data</tt>, а деплоим под другим пользователем. Даже если деплоить под <tt>root</tt>, то скорее всего права на папку перепишутся и <tt>www-data</tt> потеряет доступ к нужным файлам.</p> <h3>Решение</h3> <p>Создать нового пользователя deploy с правами на коннект к серверу по ssh, доступом только к папке с проектом и возможностью изменять файлы в <tt>./public/uploads</tt> и <tt>./var</tt>.</p> <p>Создаём на сервере пользователя <tt>deploy</tt> из-под <tt>root</tt>:</p> <pre class="e2-text-code"><code class="">ssh root@вашсервер useradd --create-home -s /bin/bash deploy</code></pre><p>Настроим доступ по ssh через ключи</p> <pre class="e2-text-code"><code class="bash">mkdir /home/deploy/.ssh touch /home/deploy/.ssh/authorized_keys</code></pre><p>Вставьте содержимое одного из публичного ключа своего локального пользователя в файл <tt>authorized_keys</tt> и сохраните. Вывести публичный ключ локально можно командой: <tt>cat ~/.ssh/id_rsa.pub</tt> (название ключа <tt>id_rsa.pub</tt> у вас может отличаться).</p> <pre class="e2-text-code"><code class="">vim /home/deploy/.ssh/authorized_keys</code></pre><p>Меняем права на более строгие</p> <pre class="e2-text-code"><code class="">chown -R deploy:deploy /home/deploy chmod 600 /home/deploy/.ssh/authorized_keys</code></pre><p>Определим пользователя нашего веб-сервера (в примере ниже это <tt>www-data</tt>)</p> <pre class="e2-text-code"><code class="">ps axo user,comm | grep -E '[a]pache|[h]ttpd|[_]www|[w]ww-data|[n]ginx' | grep -v root | head -1 | cut -d\ -f1 &gt; www-data</code></pre><p>Добавляем пользователя <tt>deploy</tt> в группу <tt>www-data</tt> (группа веб-сервера)</p> <pre class="e2-text-code"><code class="">usermod -a -G www-data deploy</code></pre><p>Выставляем права на папку проекта</p> <pre class="e2-text-code"><code class="bash">chown -R deploy:deploy /var/www/project chmod -R 0775 /var/www/project</code></pre><p>Проверим, есть ли setfacl в системе <tt>setfacl -h</tt> и установим, если его нет. Команда для Ubuntu:</p> <pre class="e2-text-code"><code class="bash">sudo apt-get install acl</code></pre><p>Выдадим права на папки с кэшем, логами и загруженными пользовательскими файлами</p> <pre class="e2-text-code"><code class="bash">sudo setfacl -dR -m u:www-data:rwX -m u:deploy:rwX /var/www/project/var /var/www/project/public/uploads sudo setfacl -R -m u:www-data:rwX -m u:deploy:rwX /var/www/project/var /var/www/project/public/uploads</code></pre><p>Готово.</p> <p>Для самого деплоймента я обычно использую <a href="deployer.org">Deployer</a> c параметром <tt>writable_mode=acl</tt>.</p> 10 https://maxkuznetsov.ru/all/tech-obyom-diska-i-papki/ Wed, 18 Sep 2019 11:55:51 +0300 Максим Кузнецов https://maxkuznetsov.ru/all/tech-obyom-diska-i-papki/ <p>Никак не могу удержать в голове эти команды, так как они нужные не так часто, но всё же настолько, чтобы записать и больше не искать.</p> <p>Сколько места на диске:</p> <pre class="e2-text-code"><code class="">df -h</code></pre><p>Сколько места занимает папка:</p> <pre class="e2-text-code"><code class="">du -sh ./folder</code></pre><p>Что именно занимает больше всего места внутри папки:</p> <pre class="e2-text-code"><code class="">du -sh ./folder/*</code></pre>