Security
擁有 www-data 能夠登錄的缺點
我執行一個小型 Web 伺服器,基本上只是為了託管小型數據項目和文件。此伺服器具有公共 IP 地址。
我希望能夠通過 FTP 將文件直接上傳到
/var/www/*,因此我正在考慮允許www-data使用者擁有密碼並直接登錄。這也將避免我每次在 Web 目錄中執行任何操作時都必須更改文件所有權(我目前以 root 身份執行此操作,因此那裡也存在安全風險)。允許 www-data 使用者登錄是否存在安全風險?如果是這樣,最好的選擇是什麼?
一個安全風險是您可能會殺死或以其他方式處理網路伺服器本身(因為您使用的是同一使用者。)這可能不是您想要的。當你使用root時可能也是如此,對吧。
兩種解決方案:
- 在下面
/var/www為自己創建一個子目錄,將其分配給自己,然後使用您自己的使用者。(或創建一個新的)例子:
root@box# mkdir /var/www/joes-toys root@box# chown joeuser:joegroup /var/www/toys root@box# chmod u=rwx,g=rx,o=rx
- 將您的使用者(您自己的或新使用者)放入 www-data 組,並確保該組對
/var/www例子:
root@box# adduser joeuser www-data root@box# chgrp -R www-data /var/www root@box# chmod -R g+w /var/wwwPS:現在不要使用未加密的 FTP!使用 sftp(來自 ssh 套件)或至少使用 ftps(ftp over ssl)。