Capifony setfacl权限：“不允许操作”

Question

我有一个用户didongo (用户和组didongo)和nginx服务器(用户和组www-data)。我已经将Capifony设置为以didongo用户身份登录:第一次部署时，setfacl命令工作正常(当logs文件夹为空时)。但在由nginx提供服务的web应用程序生成了一些日志(prod.log)之后，下一次部署就会失败，并出现setfacl错误。

我确信我在用户和web服务器之间的权限上犯了一个noob错误，但我看不出是什么错误。我发现didongo不应该能够更改他没有权限的文件的权限。但是，我应该如何配置服务器或Capifony呢？

谢谢!

相关(希望如此) Capifony deploy.rb配置：

set :user,                  "didongo"
set :webserver_user,        "www-data"
set :permission_method,     :acl
set :use_set_permissions,   true

set :shared_children,       [app_path + "/logs", web_path + "/uploads", "vendor"]
set :writable_dirs,         ["app/cache", "app/logs"]

这是Capifony错误：

$ setfacl -R -m u:didongo:rwx -m u:www-data:rwx /home/didongo/staging/shared/app/logs
setfacl: /home/didongo/staging/shared/app/logs/prod.log: Operation not permitted

ACL上的一些数据：

$ getfacl app/logs

# file: logs
# owner: didongo
# group: didongo
user::rwx
user:www-data:rwx
user:didongo:rwx
group::rwx
mask::rwx
other::r-x
default:user::rwx
default:user:www-data:rwx
default:user:didongo:rwx
default:group::rwx
default:mask::rwx
default:other::r-x

# file: logs/prod.log
# owner: www-data
# group: www-data
user::rw-
user:www-data:rwx               #effective:rw-
user:didongo:rwx                #effective:rw-
group::rwx                      #effective:rw-
mask::rw-
other::r--

Answer 1

最后，我用与用户相同的权限创建了不同的PHP-FPM池。通过这种方式，我可以将不同的用户彼此分开。作为一个额外的好处，deploy.rb得到了简化。

Answer 2

使用sudo尝试一次，之后就不需要使用sudo了

sudo sh -c 'setfacl -R -m u:didongo:rwX -m u:www-data:rwX /home/didongo/staging/shared/app/logs'

因为您需要设置x+权限，所以请阅读此What is trailing Plus indicates

Answer 3

这里的问题是，prod.log文件是自动创建的，所以它的所有者是www-data。Capifony以didongo用户身份运行部署。一个用户不能对另一个所有者的文件执行setfacl。

因此，只需将didongo添加到组www-data：sudo adduser didongo www-data