Jak mogę włączyć dowolnych użytkowników do edycji plików w pod-drzewie „/ opt”?

Jestem użytkownikiem „ktoś”. Mam typowy ekosystem witryny internetowej (zasadniczo pod-drzewo FS zaczynające się od typowego katalogu „htdocs” Apache).

Jego pliki są własnością „roota” i są zgrupowane w „daemon”, aby Apache mógł czytać i / lub wykonywać, podczas gdy „root” może również do nich pisać (żyją w „/ opt”, zazwyczaj wypełnianym przez skrypty lub „instalatory” „wywoływany jako super).

Jako „ktoś” chcę utworzyć repozytorium git w tym miejscu (w „htdocs”), aby śledzić zmiany w konfiguracji itp., Ale nie chcę uruchamiać „git” jako super (staram się unikać uruchamiania rzeczy jako super gdzie możliwy ). Nie chcę chown / chgrp plików do mojej nazwy użytkownika, ponieważ arbitralni użytkownicy nie powinni się muckować w '/ opt / ...', prawda?

Pomyślałem więc - dlaczego nie dodam się do grupy „demon” i włączę zapisywanie grup w plikach? Czy to nie jest trochę czystsze? Ale może nie jest rozsądnym tworzenie regularnego użytkownika w grupie „demonów”, a może nie jest rozsądne zapisywanie plików zgrupowanych w „demona” - po prostu jeszcze nie wiem dlaczego.

Czy istnieje zalecany sposób na „udostępnienie komuś” dostępu do rzeczy, które znajdują się w '/ opt', będących własnością 'root', i zachowanie ich tylko do odczytu dla rzeczy takich jak Apache w trybie demona, bez uciekania się do ACL? Nie sądzę, ale nie jestem mądrym człowiekiem. :-RE

(To pytanie jest powiązane, ale nie wyjaśniło mi to zbytnio: Uprawnienia użytkownika: demon i użytkownik ).

Najbliższe, na jakie wpadłem, to przenoszenie zawartości „htdocs” gdzieś indziej (w tym przypadku, ponieważ „ktoś” jest jedynym zamierzonym edytorem witryny, mogłem zaparkować gadżety w np. „/ Home / somebody / some_website-htdocs” ), a następnie utwórz dowiązanie symboliczne z oryginalnej lokalizacji wskazujące na rzeczywiste pliki. Następnie mogę ponownie przełączyć pliki na „ktoś”, aby zapewnić dostęp do zapisu, a wszystko inne pozostaje takie samo (Apache może nadal czytać / ex poprzez grupę „daemon”).

Przypuśćmy, że ma to sens, jeśli chciałabym następnie rozszerzyć edycję na wielu użytkowników, może stworzyłbym użytkownika i grupę „webową”, przesunął „blob” do miejsca w „/ home / web / ...”, link zamiast tego dodaj „demona”, „kogoś” i wszystkich innych użytkowników do grupy „web”, a następnie zmień tryb plików na zapisywalny.

Ten poziom kontroli jest prawdopodobnie trochę umstaendlich , ale lepsza odpowiedź prawdopodobnie nauczy mnie (i innych, którzy znajdą to pytanie) sporo informacji na temat zarządzania zezwoleniami.