Позволить некорневому процессу получать доступ ко всем корневым каталогам, не ставя под угрозу безопасность?
Так - означал заполнять аргумент, предполагаемый для имени файла?
Да.
Имеет это использование - также характерно для других команд?
Я не действительно уверен, существует ли некоторый стандарт для него, но некоторые инструменты GNU (пример: tar) использование - с этой целью.
В сокращении-c 1-3 20 25-сотрудников, путь 1-3 20 25-для определения диапазона чисел для аргумента, также распространенного в других командах?
Это просто, кажется, естественно. Я уверен, что можно использовать это в большинстве инструментов GNU - они главным образом следуют тем же конвенциям, но я проверил бы руководство на любой инструмент не-GNU.
Мы испытываем необходимость в большем количестве информации, если Вы ищете полный ответ. Из того, что я понял, можно хотеть изучить Список управления доступом. Это поддерживается многими Нельдами и даст Вам лучший контроль над тем, какой пользователь получает доступ к который файл.
Используйте с осторожностью и попробуйте ее в VM сначала, если Вы не на 100% удобны.
Я предполагаю, что трудность состоит в том, что корневые каталоги не публично исполняемы в Вашей среде.
Можно поместить список управления доступом во все корневые каталоги, который дает конкретному пользователю или разрешению казни группы к каталогу. Веб-сервер затем потенциально сможет получить доступ к любому файлу в корневых каталогах пользователей, которые могут обеспечить способы нарастить полномочия (по крайней мере, это расширит влияние локальной уязвимости доступа к файлу). Например, в соответствии с Солярисом или Linux, удостоверьтесь, что домашняя файловая система смонтирована с acl опция, и выполненный
setfacl -m user:www-data:x /home/*
(интегрируйте это в свою установку создания учетной записи). Затем скажите Вашим пользователям что их ~/public_html каталог должен быть читаемым www-data пользователь; они могут выполнить эту команду:
setfacl -R -m default:user:www-data:rx ~/public_html
setfacl -R -m user:www-data:rx ~/public_html
Другая возможность состоит в том, чтобы смонтировать всех пользователей public_html каталоги в отдельном месте в файловой системе. Этот подход имеет преимущество, что полномочия на корневых каталогах не будут иметь значения; это даже позволяет веб-серверу выполнять chroooted. В соответствии с Linux, можно сделать это для корневого каталога:
mount --bind /home/joe/public_html /srv/homepages/joe
public_html каталог и его содержание все еще должны быть сделаны доступными для www-data.
Вариант на Linux связывает, монтируют, что метод использует bindfs файловую систему. Этот метод работает над любой ОС, которая поддерживает bindfs (который является большинством нельдов), и не требует никаких настроек ACL, по стоимости что любой файл под public_html будет сделан доступным для чтения веб-сервером.
bindfs -u www-data -p 500 /home/joe/public_html /srv/homepages/joe