我目前正在升级我们的生产机器,同时我正在改变一些权限的工作方式。
我快完成了,但我被困在静态文件部分(最后一点)。
目前,静态文件托管在另外两台 NFS 安装到应用服务器的机器上。目前,collectstatic 将新的静态文件发送到我们的 CDN 中,然后它们会被缓存。这个盒子上的所有文件都归 ubuntu:ubuntu(这是一个 sudoer)所有。您不能直接在端口 80 或 443 上访问这些应用程序服务器,您始终需要通过云端,它会根据需要转发到静态文件服务器。
我也在实现 django-pipeline,因此服务器需要对该区域的写权限。开发人员也需要写权限。
我目前(最初)将代码设置为类似于 www-data:developers ,其中开发人员都在开发人员组中。但是,www-data 本身需要对静态文件位置的写权限,但我不希望它在其他地方具有写权限。
因此,我目前的想法是创建一个名为 appserver 或其他名称的新组,并将 www-data 以及所有开发人员添加到其中。chown 该文件夹到 www-data:appservers 和 chmod 0770。
这是最好的方法吗?