Temos nosso projeto /var/wwwe ele é de propriedade do usuário www-data.
Eu gostaria de criar uma automação para implantar, então eu faço:
- Conecte-se através do SSH como usuário
www-data - Navegar para
/var/www/somefolder - Execute
git pulle todas as coisas relevantes.
É seguro fazer login com o www-datassh e executar essas ações?
Ou devo fazer login com um usuário diferente e depois dar a ele um www-datagrupo? Ou faça login com um usuário diferente e, em seguida, su www-datafaça o trabalho?
linux
ssh
automation
deployment
Tzook Bar Noy
fonte
fonte
Shiftum pouco mais do que apenas para "OR" . Você também pode melhorar o título da pergunta e usar alguma formatação .Respostas:
O problema com isso não é tanto inseguro para fazer login,
www-datamas é inseguro ter todo o site gravável por essa conta. Você deve usar outra conta para gerenciar os arquivos do site, com permissões de gravação nos diretórios. Esse usuário deve possuir os arquivos (e geralmente também está nowww-datagrupo, mas isso não é absolutamente necessário). Você poderá usar as permissões necessárias usando as permissões de grupo para especificar o que o site pode fazer e as permissões de usuário para especificar o que sua conta de gerenciamento pode fazer. Você provavelmente nunca precisará conceder permissõesotherspara esses arquivos.Essa conta de gerenciamento também deve ser capaz
sudo chmod(e provavelmentesudo chown) desses arquivos, conforme necessário, a fim de permitir ao site permissões de gravação em pastas específicas do site (como uma pasta temporária). Se você não deseja permitir isso por esse usuário, precisará fornecer pastas para esse fim que você precisa que os gerentes de site usem.fonte