Linux пользователей, в частности, Apache, разрешений настройки, [Linux нуб:]

Question

У меня есть user: nobody и group: nogroup набор для апача в httpd.conf. Поскольку я также использую свой собственный пользователь для управления файлами на ssh через Samba, я хотел бы иметь доступ к папке www для чтения/записи, а также позволить apache читать эти файлы.
В некоторых папках должны быть разрешения на запись apache.

Должен ли я оставить apache как nobody|nogroup?
Я думал, что должен установить своего собственного пользователя под группой, называемой «webadmins», и установить apache нового пользователя, называемого «apache» под одной и той же группой. Затем разрешите группе читать все файлы, но только мой пользователь будет писать файлы. Всякий раз, когда apache потребуется разрешение на запись внутри папки, я бы вручную изменил это. Является ли это достаточно подходящим подходом или я что-то упускаю?

Спасибо!

Answer 1

Обычно любому демону необходимо будет получить доступ к нескольким ресурсам. поэтому целесообразно запускать каждого демона под особым пользователем: group, а не nobody:nogroup.

традиционно (например, в системах Debian) apache работает как www-data:www-data.

наконец, права пользователя имеют приоритет над групповыми разрешениями (которые, в свою очередь, имеют приоритет над другими разрешениями). это означает, что каталог, в котором у пользователя нет писем perms, но группа пользователя может писать, эффективно r/o для этого пользователя (но не для других членов группы)