dê permissões de ID do apache para listar e arquivos CRUD como usuários do sistema operacional

Eu não tinha certeza se esta pergunta pertence aqui ou no SO . Posso movê-lo para lá, se necessário.

Em qualquer configuração decente do Apache, o Apache será executado como seu próprio ID; www-datapor exemplo. E esse ID não terá permissões para listar e arquivos CRUD como outras contas do sistema operacional. Isso é por design de segurança.

Eu quero poder, de alguma forma, ter uma lista do Apache ou arquivos CRUD como outra conta do sistema operacional. Por exemplo, listar arquivos no diretório inicial da conta ou criar um novo arquivo de texto no diretório inicial da conta.

Eu sei que uma solução é usar permissões de grupo de arquivo/pasta, mas não posso fazer isso porque não posso mexer com propriedade ou permissões de arquivo/pasta.

Eu olhei para suEXEC , suPHP e php-fpm , mas nenhum deles funcionará porque eles executarão scripts como o proprietário do script. No meu caso, estou executando comandos como cpou mvcomo um número arbitrário de contas do sistema operacional. A única maneira de usar essas ferramentas é ter um script para cada conta do sistema operacional. Ou ter um script de propriedade, rootmas isso não parece seguro.

Então eu comecei a pensar sudo. Eu poderia dar www-data sudoprivilégios como as contas do sistema operacional.

Exemplo de uma entrada no sudoersarquivo:

www-data ALL = (osAccount1) NOPASSWD: /bin/ls, /bin/mv
www-data ALL = (osAccount2) NOPASSWD: /bin/ls, /bin/mv

Mas isso só cheira a risco. Eu não consigo identificar como ou por que – é apenas uma sensação feia.

Existe alguma maneira de fazer o que eu quero?