Redmine и файловая система Опции

[AlexMad]

Увидел в редмайне такую вещь, как хранилище в виде FS. Все, вроде, вкусно. Но есть опасения: не дает ли эта штука доступа к системе.

Ведь, если в некую папку в этом хранилище положить симлинк на корень диска ("/"), злоумышленник получит доступ ко многим вещам.

Тут первая часть вопроса - к точке, указанной в корне хранилища доступ осуществляется через chroot или нет. Если да. то это уже легче.




Вторая часть вопроса: как можно ограничить места ФС, к которым менеджер проекта может разрешить доступ? Или же тут только один вариант - никому не давать привелегий "менеджер", только "разработчик" и "генератор отчетов"?




Понимаю, что сущностей, вроде менеджер/разработчик/админ/модератор можно наплодить с разным уровнем доступа, но вопрос больше идет по ограничениям, касаемымм именно файловой системы.

[gemuz]

Увидел в редмайне такую вещь, как хранилище в виде FS. Все, вроде, вкусно. Но есть опасения: не дает ли эта штука доступа к системе.

Ведь, если в некую папку в этом хранилище положить симлинк на корень диска ("/"), злоумышленник получит доступ ко многим вещам.

Тут первая часть вопроса - к точке, указанной в корне хранилища доступ осуществляется через chroot или нет. Если да. то это уже легче.




Вторая часть вопроса: как можно ограничить места ФС, к которым менеджер проекта может разрешить доступ? Или же тут только один вариант - никому не давать привелегий "менеджер", только "разработчик" и "генератор отчетов"?




Понимаю, что сущностей, вроде менеджер/разработчик/админ/модератор можно наплодить с разным уровнем доступа, но вопрос больше идет по ограничениям, касаемымм именно файловой системы.

Добрый день.
Немного сумбурно написали.
Если у вас все на ФС реализовали, то можно смело доступ через chroot, но это лишь, если граничить по рабочим папкам юзеров.
Если убрать chroot, то политику можно уже держать через отношение к группам, т.е. да на редактирование, достпуп и тд. Таков вариант реализации норм, если учесть поправку на запрет корня, сдевал алиасы на корневой вход.
Реализацию по делению на группы и права доступа применяю по сей день в проектах разных людей. Очень удобно стандартизовать группы, тогда через nfs доступ по сети можно реализовывать как локально :-) Удачи.

[AlexMad]

Добрый день.
Немного сумбурно написали.
Если у вас все на ФС реализовали, то можно смело доступ через chroot, но это лишь, если граничить по рабочим папкам юзеров.
Если убрать chroot, то политику можно уже держать через отношение к группам, т.е. да на редактирование, достпуп и тд. Таков вариант реализации норм, если учесть поправку на запрет корня, сдевал алиасы на корневой вход.
Реализацию по делению на группы и права доступа применяю по сей день в проектах разных людей. Очень удобно стандартизовать группы, тогда через nfs доступ по сети можно реализовывать как локально :-) Удачи.

Простите, мой вопрос был уже давно... Но я не помню, чтобы я спрашивал про nfs и группы доступа.
Вопрос, насколько я помню, был только про redmine. И про chroot я только спросил, предполагая, что в redmine что-то подобное реализовано. Или как раз не реализовано.