V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
andybest
V2EX  ›  问与答

给前端开发人员开服务器 FTP 账户,是不是给他 www 账户最合适?

  •  
  •   andybest · 2015-01-20 19:02:38 +08:00 · 2511 次点击
    这是一个创建于 3596 天前的主题,其中的信息可能已经有所发展或是发生改变。
    站点文件与目录权限全部为 www 用户可读写,nginx 与 php 也是使用 www 账户跑的

    目录和文件权限均为:
    drwx------ 3 www www 4096 2015-01-17 17:47 my_site

    那么这时候是不是将 www 用户的 home 目录改为 /my_site 并设置 www 账号密码
    然后直接把 www 账号丢给前端开发人员即可?

    这样做是否有什么隐患?或者有没更好的方式?
    17 条回复    2015-01-20 22:47:13 +08:00
    COSTRENGTH
        1
    COSTRENGTH  
       2015-01-20 19:28:57 +08:00
    你说的隐患指的是?
    COSTRENGTH
        2
    COSTRENGTH  
       2015-01-20 19:31:30 +08:00   ❤️ 1
    我记得vsftpd和webdav都可以设置虚拟用户名密码吧,没必要给个系统账户。
    还有都是一个公司的,如果非往坏了想,报复公司这种事,隐患最大的应该是运维人员吧……不知道我是不是想的太邪恶了……
    xxr3376
        3
    xxr3376  
       2015-01-20 19:32:01 +08:00   ❤️ 1
    假如前端懂php写点恶意代码或者手抖改错了php怎么办= =。。。

    最科学的还是要把前端用到的那些文件改成特定的group,然后给个frontend的账号加到这个group里吧。。

    (话说为啥不是git写完了由你部署。。)
    andybest
        4
    andybest  
    OP
       2015-01-20 19:43:53 +08:00
    @COSTRENGTH 谢谢,不是一个公司,外包人员协助修改,所以。。。虚拟账户比直接给他www哪方面会更安全?

    @xxr3376 是说把前端用到的静态文件(排除.php文件)改成特定的 group ,然后给他这个group的专用账号吗?
    iCodex
        5
    iCodex  
       2015-01-20 19:46:41 +08:00   ❤️ 1
    直接开chroot后的权限给他用。
    jacob
        6
    jacob  
       2015-01-20 19:48:57 +08:00   ❤️ 1
    你给前端越少的权限,他做的活就越少,他成长的就越慢,别人的工作就越多,整个项目效率就越低。当然,给的越多,潜在的风险和麻烦越多,关键是像我这么好的前端不多。:-D。
    COSTRENGTH
        7
    COSTRENGTH  
       2015-01-20 19:51:00 +08:00   ❤️ 1
    @andybest 虚拟账户没有本地账户那么大的权限,比如群组,默认进不了/home等等……不过外包的话还是小心点吧,被外包留后门挖矿的我之前的之前的公司见到过……
    COSTRENGTH
        8
    COSTRENGTH  
       2015-01-20 19:51:42 +08:00
    @jacob 楼猪是给外包人员开账户……
    jacob
        9
    jacob  
       2015-01-20 19:53:46 +08:00
    @COSTRENGTH

    拷贝个测试服务器让他们折腾去呗。
    COSTRENGTH
        10
    COSTRENGTH  
       2015-01-20 19:55:19 +08:00
    @jacob 想法不错~
    andybest
        11
    andybest  
    OP
       2015-01-20 19:58:10 +08:00
    @jacob 测试服意义不大,因为不可能在完成工作后你再去检查他的代码

    我们是需要外包来帮忙调试一个 Discuz 论坛的模板,好像没啥办法能彻底杜绝 php 文件中挂个马啊啥的。。
    andybest
        12
    andybest  
    OP
       2015-01-20 19:59:04 +08:00
    @iCodex 谢谢,已设置 chroot_local_user=YES 锁定了用户仅能操作他自己的 home 目录
    ETiV
        13
    ETiV  
       2015-01-20 20:08:33 +08:00   ❤️ 1
    我的做法一般是单独给开一个账户, 然后在他的home 目录里创建目录. 他在里面随便写

    再用
    mount --bind /home/frontend/dev_site /wwwroot/site/dev/

    把这个目录给放到 www 下面去.
    xxr3376
        14
    xxr3376  
       2015-01-20 20:09:22 +08:00   ❤️ 1
    @andybest 我一般是这么做的。。当然 @EtiV 的做法也很合理
    lemonda
        15
    lemonda  
       2015-01-20 21:11:13 +08:00   ❤️ 1
    我一般 passwd www 开个 sftp 账户
    如果用 FTP 的话就在 /etc/passwd 中把 ftpuser 的 UID 改成和 www 一样
    命令都是用 Root 运行
    一直没仔细研究,感觉有安全隐患
    ratazzi
        16
    ratazzi  
       2015-01-20 21:53:27 +08:00
    BTSync 挺适合
    jarlyyn
        17
    jarlyyn  
       2015-01-20 22:47:13 +08:00   ❤️ 1
    一般是website用户,加在www组,然后权限775/770,家目录设为web目录,开chroot

    mount --bind一旦用户数多,重启后太麻烦了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5620 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 06:49 · PVG 14:49 · LAX 22:49 · JFK 01:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.