Эта статья — часть Большого Мануала по настройке lamp-сервера на debian.

Предыдущая часть цикла — учимся генерировать случайные пароли.

Следующая часть цикла — Cинхронизируем время на сервере.

Сегодня мы будем создавать пользователей в системе, которые позднее будут использоваться для доступа к серверу по ssh/ftp и для редактирования файлов наших сайтов.
Всё происходящее ниже — фундамент безопасности нашего сервера (точнее, сайтов, расположенных на нём, если их несколько).
Мы будем преследовать несколько целей:
1) пользователи не должны иметь возможности подсмотреть файлы друг у друга в домашних каталогах под собой.
2) веб-сервер, запущенный от имени пользователя www-data должен иметь возможность просматривать файлы сайтов, но не должен иметь возможности писать в произвольные файлы в докрутах.
3) работающий chroot по sftp/ftp (chroot для sftp мы уже настроили в статье про openssh-server, а chroot для ftp настроим позднее).
4) если мы запустили сайт от имени пользователя через mpm-itk (такое нужно битриксу, например), то пункт 1 должен соблюдаться.

Погнали.
Начнем с грустного — изначально я не очень правильно составил план статей цикла. Пользователь www-data нам нужен уже сейчас, но чтобы корректно создать его — нужны пакеты с apache2. Можно было бы создать пользователя и группы руками, но проще всё же поставить пакеты и пока забыть про них:

Теперь создадим 2 нужные нам группы пользователей:

Группа secure будет использоваться нами для того, чтобы пользователи не могли смотреть чужие файлы, а группу sftponly мы будем использовать для того, чтобы включать-выключать пользователю chroot в ssh-сервере (и, соответственно, по sftp). Освежите память, прочитайте часть 4 мануала, если не помните о чём я.

Теперь начинаем создавать пользователя. Далее считаем, что пользователя зовут username (заменяйте везде username на желаемое имя пользователя).
Создадим ему домашний каталог (обратите внимание, что домашним каталогом у нас будет /home/username/data, а не /home/username):

Создадим пользователя:

Добавим его в группу secure, чтобы он не мог попасть в домашний каталог другого пользователя:

Пропишем ему пароль:

Настроим права и создадим каталог для сайта.
Каталог /home/username должен быть доступен на запись только руту, чтобы работал chroot() в vsftpd и sftp:

Пользователи, состоящие в группе secure, не должны иметь возможности попасть в домашний каталог пользователя, а сам пользователь и пользователи не состоящие в этой группе (в т.ч. и www-data) — должны. При этом сам пользователь в этом каталоге сможет писать, само собой:

Создадим каталоги для временных файлов веб-сервера и для докрутов наших сайтов:

Все каталоги в домашней директории должны принадлежать нашему пользователю:

Но tmp каталог должен принадлежать и пользователю, и группе www-data:

Ну и под конец запрещаем писать всем, кроме самого пользователя, в каталоги в нашем хомяке:

Но разрешаем писать пользователю+группе www-data в каталог mod-tmp:

Теперь переходим к созданию каталога для нашего будущего сайта. В принципе, пофиг, как назвать этот каталог, но я стараюсь называть их по имени основного домена будущего сайта (пусть будет example.com):

Если вы понимаете, что происходит выше — обязательно соблюдайте порядок команд, иначе у вас ничего не выйдет ;)
И последний штрих. Чтобы пользователь не мог зайти по ssh на сервер + чтобы запретить ему выходить за пределы каталога /home/username по sftp/ftp нужно добавить его в группу sftponly:

Если понадобится снова включить ему ssh, то удалите его из этой группы:

На этом всё.