Tach,

angenommen auf einem apache (v2.4) sollen zwei oder mehr verschiedene user jeweils mind. einen virtuellen host pflegen koennen. wie setzt man da am besten welche rechte?

das hängt davon ab, wie die genauen Anforderungen sind.

die erste loesung scheint mir doof zu sein, weil dann user_B auch ins verzeichnis von user_A reinschreiben koennte. das gleiche scheint mir fuer die dritte loesung zu gelten.

Ja, das würde ich auch sagen.

gegen die zweite loesung spricht, wenn ich's richtig verstanden habe, wiki.ubuntuusers.de/Apache. oder ich hab's falsch verstanden und das bezieht sich nur aufs www-root-verzeichnis, also hier /data/www?

Nein, das verstehst du richtig, jeder User sollte nur jeweils da schreiben (und etwsa eingeschränkter lesen) können, wo es nötig ist.

ausserdem: wenn ueber ein CMS dann dateien erzeugt werden koennen, sollten die per default ja nicht unbedingt als

-rw-r--r-- www-data www-data /data/www/a.example.org/writabledir/sonstwas.txt

erzeugt werden. heisst das, dass man das am besten mit gid- und acl-kram steuert?

Ich würde von ACL die Finger lassen, solange die Menge an Usern und Überschneidungen nicht groß ist oder man etwas braucht, was sich nur mit ACL umsetzen lässt; sich mit einem „ls -la “ die Übersicht über die Dateirechte geben zu lassen, ist erheblich einfacher, als alles im Zweifelsfall mit getfacl handlen zu müssen. Unter Linux hast du auf den Besitzer neu angelegter Dateien nicht viel Einfluss, suEXEC ist aber mindestens einen Blick wert; die Gruppe kann über setgid gesteuert werden und die Rechte über eine entsprechende Umask.

Bei einer überschaubaren Menge an Usern, würde ich eine weitere (nicht die Standardgruppe des jeweiligen Users) anlegen, wo die jeweiligen User und der Apache Mitglied sind und den Verzeichnissen dann jeweils Rechte von drwxr-s--- verpassen (Schreibrechte für die Gruppe, dann in Unterverzeichnissen wie benötigt; oder besser noch außerhalb des Document_Root).

mfg
Woodfighter