私は現在、実稼働マシンをアップグレードしている最中であり、その過程でいくつかの権限の動作方法を変更しています。
私はほぼ完了していますが、静的ファイルの部分 (最後のビット) で立ち往生しています。
現在、静的ファイルは、アプリ サーバーに NFS マウントされている他の 2 台のマシンでホストされています。現在、collectstatic は新しい静的ファイルを送信し、そこで最初に CDN に提供され、その後キャッシュされます。このボックスのすべてのファイルは、ubuntu:ubuntu (sudoer) によって所有されています。これらのアプリケーション サーバーをポート 80 または 443 で直接ヒットすることはできません。必要に応じて静的ファイル サーバーに転送するクラウドフロントを常に経由する必要があります。
私はdjango-pipelineも実装しているため、サーバーにはこの領域への書き込み権限が必要です。開発者にも書き込み権限が必要です。
私は現在、開発者がすべて開発者グループに属する www-data:developers のようなコードを (最初に) 設定しています。ただし、www-data 自体は静的ファイルの場所への書き込み権限が必要ですが、他の場所に書き込み権限を持たせたくありません。
それで、私の現在の考えは、appserver などと呼ばれる新しいグループを作成し、www-data とすべての開発者をそこに追加することです。そのフォルダーを www-data:appservers および chmod 0770 に chown します。
これはこれを行うための最良の方法ですか?