Итак, у меня есть приложение PHP.Разрешения установлены на соответствующие права для пользователя и группы www-данных.Проблема в том, что у меня есть файлы, сгенерированные другим серверным процессом (Java-процессом), работающим под другим пользователем, к которому PHP должен получить доступ.Они также находятся в другом каталоге, не зарегистрированном в vhost.
Так что я пытаюсь найти лучший способ сделать это.Я думаю, что могу создать символическую ссылку на этот каталог в моей папке php, которая уже доступна через виртуальный хост (проверяя, чтобы apache следовал за символическими ссылками).Тогда мне все равно придется изменить права доступа к фактическим файлам, верно - может быть, добавить www-данные в группу, которая создает эти файлы?Означает ли это, что www-данные могут иметь доступ ко всем файлам, принадлежащим этой группе?Достаточно ли разрешений для каталога apache, чтобы потенциальный злоумышленник не мог выйти за пределы каталога с теми конкретными файлами, которые я хочу обслужить?
В качестве альтернативы я мог бы создать новый виртуальный хост, работающий под пользователем, которому принадлежат эти файлы, и просто получить доступфайлы через другой поддомен.
Я мог бы потенциально увидеть, как создавать файлы, принадлежащие группе www-data, и иметь права на чтение файлов для групп.
В любом случае, просто вижу, есть листандартная лучшая практика для этого вопроса.