проблема безопасности вокруг добавления пользователя cron в группу веб-приложений

У меня проблема с разрешениями на моем компьютере CentOS 5.6 в отношении пользователя cron.

В моей тестовой / промежуточной среде мой пользователь cron ( picco-cron ) является членом одной группы – picco-cron , как picco-cron ниже:

 [crmpicco@1872-stage1 downloads]$ id picco-cron uid=601(picco-cron) gid=601(picco-cron) groups=601(picco-cron) 

В то время как моя среда разработки является одним и тем же пользователем, является членом группы dev .

 [root@dev53 dev_crmpicco]# id picco-cron uid=503(picco-cron) gid=503(picco-cron) groups=503(picco-cron),555(dev) 

Проблема в том, что в моих каталогах веб-приложений PHP есть группа dev , что верно, поэтому в моей среде разработки я могу писать / читать в и из этих каталогов, как и ожидалось. Однако в тестовой / промежуточной среде я не могу, поскольку picco-cron не является членом группы dev .

Мой вопрос: существует ли проблема безопасности, позволяющая пользователю «cron» иметь доступ к письму в 90% каталогов в моем приложении? Это просто, как добавить picco-cron в dev группу или здесь проблема безопасности?

У вас там очень особенная настройка.

IMHO промежуточная среда не должна давать разработчикам доступ на запись.

Таким образом, есть две роли:

  • Ваш веб-сервер – позволяет называть его имя пользователя "apache"
  • Технический php-администратор, который поддерживает php-web-приложение текущего «phpadm»,

Теперь phpadm должен иметь возможность записывать файлы, которые поставляет веб-сервер. Давайте построим для этого общую группу «www».

PHP-файлы принадлежат пользователю phpadm, группе www. Ваш веб-сервер работает как пользователь apache, group www. Статические файлы: rw для phpadm и ro для www.

В этом случае ваш picco-cron должен получить www-группу, если вы хотите запустить с ней резервные копии (то есть прочитайте).