授予 www-data 組的所有權限是個好主意嗎?
我經常遇到 Apache/me 的讀寫和執行權限問題。“konrad”組中有一個使用者“konrad”(就是我),Apache 使用的“www-data”組中有一個使用者“www-data”。當我(“konrad”)創建一個目錄時,Apache 無權寫入該文件夾,這會導致問題。
所以現在我有了以下“想法”:我將自己(“konrad”使用者)添加到“www-data”組(Apache 的使用者也屬於該組),然後我 chown 我所有的 www 項目,以便它們屬於使用者“konrad”但組:“www-data”。我將對項目進行 chmod,以便該組將擁有對文件和目錄的所有權限(我認為那將是 770)。
然後我會將我的主要組從“konrad”更改為“www-data”,因此每次我創建一個新目錄/文件時,Apache 也將擁有對其的完全訪問權限。
問題是:這是個好主意嗎?我對權限甚至 Unix 本身都沒有很好的經驗。所以也許我錯過了一些東西。但這對我來說似乎是合理的。
Apache 在 Debian 發行版中以非特權使用者身份執行,
www-data原因非常充分:安全性。在處理放棄特權的守護程序時,它被認為是一種良好的安全實踐,盡可能避免創建具有執行守護程序的非特權使用者的所有權的配置文件或數據文件 - 因此,如果 Apache 使用者是受到威脅後,攻擊者將很難搞砸事情或破壞網站。
盡可能地,我建議創建具有不同使用者的站點,並僅授予 www-data 組的讀取權限;並且只能對真正需要它們的目錄中的 www-data 進行寫訪問。然而,即使使用 mod-ruid2 也可以避免這種情況。
mod-ruid2 允許實際執行每個站點/虛擬主機及其所有者,並且處理頁面的安全模型要容易得多。它消除了創建世界可寫目錄的必要性。它還保證在一個虛擬主機被攻破的情況下,攻擊者無法在其他虛擬主機中植入惡意軟體。
mod-ruid2 也推薦給具有託管模型的人,我們在這裡使用它來執行數百個站點,並且非常成功。
不幸的是,關於 mod-ruid2 的文件有點少,我不得不在 Unix 和 Linux中寫一篇更詳細的文章來描述它。