Структура папок пользователей на сервере Debian 9

Безопасность — одна из первостепенных задач владельца (и/или админа) сервера. Поэтому нужно правильно назначать права пользователям, правильно создавать группы пользователей и, конечно, создать правильное расположение папок для хранения данных пользователей на сервере так, чтобы пользователь мог успешно выполнять свои задачи, но при этом не мог вмешиваться в работу сервера. Иначе на сервер с бестолковой системой безопасности могут попасть злоумышленники и перенаправить работу сервера в нужное им русло (высчитывать биткоинты, рассылать спам, пытаться взломать сервер NASA и угнать ракету на Марс или перехватить управление беспилотником Пентагона и начать глушить рыбу в озере Байкал). В общем, ничем хорошим безолаберность может не кончиться, и хорошо, если просто кто-то захочет (и придёт к вам) наделать гематом на фронтальной поверхности черепа.

Старт! Честный VDS/VPS, на котором «Лунная База» живет уже 20+ лет

Задумываетесь о том, чтобы поднять свой pet-проект, сайт клиента или настроить окружение для разработки? Уже пора подумать, где арендовать железо.

Лунная База хостится на FirstVDS более 20 лет. Мыслей о том, чтобы перебраться на другой хостинг, не было ни разу (хотя опыт работы с другими вариантами, конечно, есть).

Бывали разные ситуации, но они бывают на любом железе. Главное, что нужно понять: здесь нет маркетинговой шелухи и сказок про «мы всё сделаем за вас». Если вы берете VDS — вам дают полный root, возможность накатить любую ОС и не лезут в ваши конфиги.

Если в саппорт написать с вопросом по вашему коду и получить ответ: «Читайте документацию и разбирайтесь сами» или «Обратитесь к профильному специалисту» — это не повод обижаться. Это повод углубить свои знания в DevOps и сайтостроении! Бегите от тех, кто пообещает: «Мы всё чиним и настраиваем абсолютно бесплатно!». Никто никогда не работает «по доброте душевной» в ущерб себе, а бесплатный сыр в администрировании обычно заканчивается сломанной базой данных.

Что по факту: Гибкое масштабирование ядер и RAM, экономия по сравнению с физическими серверами и адекватная панель ispmanager, если она вам нужна.



Структура папок пользователей на сервере в ISP-manager

Для того, чтобы не изобретать велосипед, я решил воспользоваться архитектурой расположения папок пользователей на сервере, которую создаёт ISP-manager. Не сказать, чтобы она была простой, но зато она понятна и достаточно управляема в плане раздачи (и ограничения) прав доступа к файлам и папкам. К тому же она точно позволяет надёжно изолировать один проект от другого. Смущает конечно излишняя на первый взгляд вложенность папок, но правильно выставив права на эти папки можно достаточно просто урезать права пользователя до минимально необходимого. Так, чтобы всё работало, а если что-то понадобиться для расширения функционала, можно достаточно быстро нарастить.

Итак. Все пользовательские папки и файлы будут находиться в директории /var/www, а дальше — папки с именами пользователей (user).

То есть так: /var/www/user.

В папке группы следующая структура: ../data/www/project.

Итого имеем такую архитектуру хранения данных для разных пользователей и их проектов:

└── var
    └── www
        ├── user1 [папка пользователя 1]
        │   └── data
        │       └── www
        │           ├── project1 [папка проекта 1]
        │           ├── project2 [папка проекта 2]
        │           └── project3 [папка проекта 3]
        └── user2 [папка пользователя 2]
            └── data
                └── www
                    ├── project4 [папка проекта 4]
                    ├── project5 [папка проекта 5]
                    ├── project6 [папка проекта 6]
                    └── project7 [папка проекта 7]

Если коротко, то в общем случае для  userN с проектом projectN:

/var/www/userN/data/www/projectN

Папка каждого проекта служит корневой папкой для отдельного сайта и прикреплена к доменному имени в настройках WEB-серверов. Права на эти папки принадлежат группе и пользователю, за которым закреплён этот проект. Также эти папки могут служить корневыми директориями для FTP-сервера.

Если по какой-то причине пользователю требуется уровень папки выше, то ему легко будет дать эти права. Все дополнительные файлы с конфигами и настройками также могут легко размещаться в этой структуре хранения данных.

Естественно, все права доступы в папки /var и /var/www доступны только из-под root, а всё что глубже (там, где начинаются папки пользователей), уже на усмотрение администратора сервера.

В папку data можно положить не только папку www, но и, например, папку files, в которую пользователь может складывать свои документы, папку script — для программ... и т.д.. Но, так как мой сервер пока предназначен только для хостинга сайтов, то папки www достаточно. Каждый пользователь будет иметь доступ к файлам своих сайтов. Разные пользователи с разными проектами не пересекаются и не могут попасть в папки друг к другу (так как не имеют прав доступа к чужим папкам других пользователей).

В общем, такая архитектура выглядит достаточно безопасной, логичной и её создание можно автоматизировать с помощью Bash-скриптов... Но об этом немного позже. ;)

Самый честный хостинг за 20+ лет существования Лунной Базы

Задумываешься о том, чтобы поднять свой сайт в Интернете? Уже пора подумать о том, какой хостинг выбрать?

Лунная База хостится 20+ лет на firstDVS. При этом, мыслей о том, чтобы перебраться на другой хостинг не было. (Но, при этом есть опыт работы с другими вариантами.)

Бывали с firstDVS разные ситуации, но, они бывают на всех хостингах. Единственное, что тут важно понять, - это то, что никто ничего тебе не будет впаривать... Но, и работать за тебя тоже никто не станет. Если в саппорт ответили: «Читайте по ссылке и разбирайтесь сами...» или вообще «Обратитесь за помощью к специалисту», - это повод углубить свои знания в области сайтостроения, а не бежать к тем, что пообещают: «Мы всё чиним и всё делаем за своих клиентов абсолютно бесплатно!» Никто никогда ничего ни за кого "по доброте душевной" не делал, не делает и не будет делать!

Старт! Горячий старт на просторы интернета
Старт! Горячий старт на просторы интернета
Старт! Меню