Dudas con seguridad: permisos de usuarios para algunas aplicaciones

Imagen de GoldFran
0 puntos

Buenas chicos

Tengo un servidor en pre-producción en una máquina virtual con Ubuntu Server 12.04 con IP interna 192.168.1.x que sale a internet al igual que mis otros equipos.

Bien, este será un servidor Web que colgaré en un Cloud VPS en un futuro cercano pero mientras estoy haciendo las pruebas y anotando todo y tengo algunas dudas sobre todo con usuarios, así que empiezo a ver en que he metido la pata :)

El servidor contendrá Wordpress y Moodle. Como sabréis nadie puede crear nada que no sea root en /var/www... Por tanto las instalaciones de estos CMSs no podrán finalizar y no nos dejarán subir archivos o imagenes entre otras tantas pegas...

Dando permisos a carpetas no funcionaba bien la cosa, así que lo que hice es instalar SuPHP + userdir para dar permisos de usuario a /var/www... Seguidamente otorgué al grupo www-data permisos de leer y escribir en /www ¿Está bien eso? ¿Comprometo la seguridad o www-data el grupo y el usuario no tienen suficientes permisos para ocasionar problemas? Funcionar me funciona desde luego pero no se si es seguro

El siguiente problema con el que me encontré fue con el envío de mail de por ejemplo un formulario o del blog o plataforma moodle... Probé postfix y sendmail pero nada me funcionó, así que opté por usar Exim4 + GMail como conector SMTP ¿Que tal la seguridad de Exim4? Se que se puede hacer con postfix pero no me funcionaba bien, Exim4 funciona mucho mejor y solo lo quiero para mails de sistema y en un futuro para logs del mismo sistema

Por último me encontré con que Wordpress utiliza para la actualización un servidor FTP/FTPS... Pero si instalo SSH2 como módulo de php me deja usar SSH2... Así que para que funcionase tendría que cumplir la característica de tener permisos en /www/wp y poder iniciar sesión SSH así que creeé este usuario:

sudo useradd -d /var/www/wp -s /bin/sh -g www-data wpssh (metiéndolo en el grupo www-data que tiene permisos de leer y escribir en ese directorio)
Luego edité el sshd_config y añadí en AllowUsers wpssh para que pueda iniciar

Al hacer la prueba me funcionó sin problemas y ya puedo actualizar, pero pregunto... ¿Es seguro hacerlo así? ¿Como podría dar los mínimos permisos a este usuario o copiar los permisos del usuario www-data? ¿Y como puedo enjaularlo vía SSH para que solo acceda al directorio /www/wp para más seguridad?

Este usuario tiene los siguientes permisos
wpssh:x:1001:33::/var/www/:/bin/sh

Perdón por el tocho, es que lo quiero tener todo bien atado