给前端开发人员开服务器 FTP 账户,是不是给他 www 账户最合适?

2015-01-20 19:02:38 +08:00
 andybest
站点文件与目录权限全部为 www 用户可读写,nginx 与 php 也是使用 www 账户跑的

目录和文件权限均为:
drwx------ 3 www www 4096 2015-01-17 17:47 my_site

那么这时候是不是将 www 用户的 home 目录改为 /my_site 并设置 www 账号密码
然后直接把 www 账号丢给前端开发人员即可?

这样做是否有什么隐患?或者有没更好的方式?
2507 次点击
所在节点    问与答
17 条回复
COSTRENGTH
2015-01-20 19:28:57 +08:00
你说的隐患指的是?
COSTRENGTH
2015-01-20 19:31:30 +08:00
我记得vsftpd和webdav都可以设置虚拟用户名密码吧,没必要给个系统账户。
还有都是一个公司的,如果非往坏了想,报复公司这种事,隐患最大的应该是运维人员吧……不知道我是不是想的太邪恶了……
xxr3376
2015-01-20 19:32:01 +08:00
假如前端懂php写点恶意代码或者手抖改错了php怎么办= =。。。

最科学的还是要把前端用到的那些文件改成特定的group,然后给个frontend的账号加到这个group里吧。。

(话说为啥不是git写完了由你部署。。)
andybest
2015-01-20 19:43:53 +08:00
@COSTRENGTH 谢谢,不是一个公司,外包人员协助修改,所以。。。虚拟账户比直接给他www哪方面会更安全?

@xxr3376 是说把前端用到的静态文件(排除.php文件)改成特定的 group ,然后给他这个group的专用账号吗?
iCodex
2015-01-20 19:46:41 +08:00
直接开chroot后的权限给他用。
jacob
2015-01-20 19:48:57 +08:00
你给前端越少的权限,他做的活就越少,他成长的就越慢,别人的工作就越多,整个项目效率就越低。当然,给的越多,潜在的风险和麻烦越多,关键是像我这么好的前端不多。:-D。
COSTRENGTH
2015-01-20 19:51:00 +08:00
@andybest 虚拟账户没有本地账户那么大的权限,比如群组,默认进不了/home等等……不过外包的话还是小心点吧,被外包留后门挖矿的我之前的之前的公司见到过……
COSTRENGTH
2015-01-20 19:51:42 +08:00
@jacob 楼猪是给外包人员开账户……
jacob
2015-01-20 19:53:46 +08:00
@COSTRENGTH

拷贝个测试服务器让他们折腾去呗。
COSTRENGTH
2015-01-20 19:55:19 +08:00
@jacob 想法不错~
andybest
2015-01-20 19:58:10 +08:00
@jacob 测试服意义不大,因为不可能在完成工作后你再去检查他的代码

我们是需要外包来帮忙调试一个 Discuz 论坛的模板,好像没啥办法能彻底杜绝 php 文件中挂个马啊啥的。。
andybest
2015-01-20 19:59:04 +08:00
@iCodex 谢谢,已设置 chroot_local_user=YES 锁定了用户仅能操作他自己的 home 目录
ETiV
2015-01-20 20:08:33 +08:00
我的做法一般是单独给开一个账户, 然后在他的home 目录里创建目录. 他在里面随便写

再用
mount --bind /home/frontend/dev_site /wwwroot/site/dev/

把这个目录给放到 www 下面去.
xxr3376
2015-01-20 20:09:22 +08:00
@andybest 我一般是这么做的。。当然 @EtiV 的做法也很合理
lemonda
2015-01-20 21:11:13 +08:00
我一般 passwd www 开个 sftp 账户
如果用 FTP 的话就在 /etc/passwd 中把 ftpuser 的 UID 改成和 www 一样
命令都是用 Root 运行
一直没仔细研究,感觉有安全隐患
ratazzi
2015-01-20 21:53:27 +08:00
BTSync 挺适合
jarlyyn
2015-01-20 22:47:13 +08:00
一般是website用户,加在www组,然后权限775/770,家目录设为web目录,开chroot

mount --bind一旦用户数多,重启后太麻烦了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/163913

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX