usr/local/bin/addsite

   1 #!/bin/sh
   2
   3 if [ "$UID" -eq 0 ]; then
   4         echo "No need to run as root."
   5         exit 1
   6 fi
   7
   8 if [ "$1" = "-h" -o "$1" = "--help" -o $# -ne 1 ]; then
   9         echo "Usage $0 <dirname>"
  10         echo "<dirname> is the full path to the site, such as /var/www/example.nl"
  11         echo "which is created if it does not exist yet. If it exists, it's"
  12         echo "permissions are reset".
  13         exit 0
  14 fi
  15
  16 HTTPD_USER=www-data
  17 # The primary group of the created user
  18 HTTPD_USERS_GID=1002
  19 # The template to copy
  20 TEMPLATE_DIR=/data/www/template
  21 # The bases to create users under
  22 USERBASE="ou=Httpd Users,ou=Users,dc=drsnuggles,dc=stderr,dc=nl"
  23 GROUPBASE="ou=Domain Groups,ou=Groups,dc=drsnuggles,dc=stderr,dc=nl"
  24 # PHP config to change the error_log setting in
  25 PHP_CONFIG=conf/php.ini.override
  26 # PHP error logfile to set error_log to
  27 PHP_ERRORLOG=logs/php.log
  28
  29 # Get dir
  30 DIR="$1"
  31
  32 if [ -e "$DIR" ]; then
  33         if [ ! -d "$DIR" ]; then
  34                 echo "$DIR" must be a directory, or not exist yet.
  35                 exit 1;
  36         fi
  37         echo "Skipping creation of $DIR, it already exists";
  38 else
  39         # Create $DIR from $TEMPLATE_DIR, if it does not exist yet
  40         echo "Creating $DIR from $TEMPLATE_DIR"
  41         cp -R "$TEMPLATE_DIR" "$DIR"
  42 fi
  43
  44 # Make $DIR absolute
  45 cd "$DIR"
  46 DIR=`pwd`
  47
  48 # Strip prefix
  49 SITE=`basename $DIR`
  50
  51 # replace . with -
  52 GROUP=`echo $SITE | sed s/\\\\./-/g`
  53 SCRIPT_USER="httpd-$GROUP"
  54
  55 if getent passwd | grep $SCRIPT_USER &> /dev/null && getent group | grep $GROUP &> /dev/null; then
  56         echo "$SCRIPT_USER and/or $GROUP already exists, skipping account creation"
  57 else
  58         # find a uid
  59         ID=2000
  60         while getent passwd | cut -f 3 -d: | grep "^$ID\$" &>/dev/null && getent group | cut -f 3 -d: | grep "^$ID\$" &> /dev/null; do
  61                 ((ID++))
  62         done;
  63
  64         echo Found uid/gid $ID for $SCRIPT_USER/$GROUP
  65
  66         # Create a user for scripts to run as, and a group to give write permissions to
  67         # files.
  68         ldapvi --profile bind --add --in --ldapvi <<EOF || exit
  69 add cn=$GROUP,$GROUPBASE
  70 cn: $GROUP
  71 gidNumber: $ID
  72 objectClass: posixGroup
  73 objectClass: top
  74
  75 add cn=$SITE,$USERBASE
  76 cn: $SITE
  77 uidNumber: $ID
  78 gidNumber: $HTTPD_USERS_GID
  79 homeDirectory: $DIR
  80 objectClass: posixAccount
  81 objectClass: account
  82 objectClass: top
  83 uid: $SCRIPT_USER
  84 EOF
  85 fi
  86
  87 if getent passwd | grep $SCRIPT_USER &> /dev/null && getent group | grep $GROUP &> /dev/null; then
  88         echo "$SCRIPT_USER and $GROUP created succesfully"
  89 else
  90         echo "User or group creation failed"
  91         exit 1
  92 fi
  93
  94 echo "Setting up permissions"
  95 # Set up permissions
  96 sudo chown -R 0:$GROUP "$DIR"
  97
  98 # By default, let the owner have write access, the group have read access
  99 sudo setfacl -R --set d:u::rwX,d:g::rX,d:o::-,u::rwX,g::rX,o::- "$DIR"
 100
 101 # Give the group write access to htdocs, applications, conf and data
 102 sudo setfacl -R -m g::rwX,d:g::rwX "$DIR/htdocs" "$DIR/applications" "$DIR/conf" "$DIR/data"
 103
 104 # Give lighttpd read access to the dir itself
 105 sudo setfacl -m u:$HTTPD_USER:rx "$DIR"
 106
 107 # Allow lighttpd to read anything in htdocs, applications, conf and data
 108 sudo setfacl -R -m d:u:$HTTPD_USER:rX,u:$HTTPD_USER:rX "$DIR/htdocs" "$DIR/applications" "$DIR/conf" "$DIR/data"
 109
 110 # Allow lighttpd to write new files in logs (but not touch existing or those created by lighttpd)
 111 sudo setfacl -m u:$HTTPD_USER:rwX "$DIR/logs"
 112
 113 # Give scripts read access to the dir itself
 114 sudo setfacl -m u:$SCRIPT_USER:rx "$DIR"
 115
 116 # Allow scripts to read anything in applications, htdocs and conf
 117 sudo setfacl -R -m d:u:$SCRIPT_USER:rX,u:$SCRIPT_USER:rX "$DIR/applications" "$DIR/htdocs" "$DIR/conf"
 118
 119 # Allow scripts to create new files in logs and data (but not touch existing or those created by lighttpd)
 120 sudo setfacl -m u:$SCRIPT_USER:rwX "$DIR/logs" "$DIR/data"
 121
 122 # Temp, chown existing log files
 123 sudo sh -c "chown -R $SCRIPT_USER \"$DIR\"/logs/php.log* \"$DIR\"/logs/wipi.log*"
 124 sudo sh -c "chown -R $HTTPD_USER \"$DIR\"/logs/access.log*"
 125
 126 # Now, set the error_log setting in php.ini. This ensures each domein will have
 127 # a separate logfile for errors, since lighttpd only supports a single error
 128 # log (When error_log is not set, error messages will go to lighttpd's log
 129 # automatically).
 130
 131 echo Updating `basename $PHP_CONFIG`
 132 sudo sed -i "s#^error_log *=.*#error_log = $DIR/$PHP_ERRORLOG#" "$DIR/$PHP_CONFIG"
 133 sudo update-php.ini
 134
 135
 136 # Done!
 137 echo "Done!"
 138 echo "Now add human users to $GROUP."
 139 echo "Also add this site to /usr/local/sbin/spawn-fcgi.sh and enable"
 140 echo "fcgi in lighttpd if dynamic content is required."