Gar*_*eth 230 linux debian www-data file-permissions apache-2.2
有没有人有一个很好的解决方案来处理文件/var/www?我们正在运行基于名称的虚拟主机,Apache 2 用户是www-data。
我们有两个普通用户和 root。因此,当弄乱 中的文件时/var/www,而不必...
chown -R www-data:www-data
...一直以来,有什么好的处理方法?
补充问题:那么您对权限的态度如何?
这一直是协作开发环境中的一个问题。
Tom*_*Tom 218
试图扩展@Zoredache 的回答,因为我自己试了一下:
创建一个新组 (www-pub) 并将用户添加到该组
groupadd www-pub
usermod -a -G www-pub usera ## 必须使用 -a 附加到现有组
usermod -a -G www-pub userb
groups usera ## 显示用户组
将 /var/www 下所有内容的所有权更改为 root:www-pub
chown -R root:www-pub /var/www ## -R 用于递归
将所有文件夹的权限改为2775
chmod 2775 /var/www ## 2=设置组id,7=rwx 为所有者(root),7=rwx 为组(www-pub),5=rx 为世界(包括apache www-data 用户)
设置组 ID ( SETGID ) 位 (2) 会导致组 (www-pub) 被复制到在该文件夹中创建的所有新文件/文件夹。其他选项是 SETUID (4) 来复制用户 ID,以及 STICKY (1),我认为它只允许所有者删除文件。
有一个-R递归选项,但不会区分文件和文件夹,因此您必须使用 find,如下所示:
find /var/www -type d -exec chmod 2775 {} +
将所有文件更改为 0664
find /var/www -type f -exec chmod 0664 {} +
将用户的 umask 更改为 0002
umask 控制默认的文件创建权限,0002 表示文件将有 664 和目录 775。设置这个(在我的例子中通过编辑umask底部的行/etc/profile)意味着由一个用户创建的文件将由 www-组而不需要chmod他们。
通过创建文件和目录并验证所有者、组和权限来测试所有这些ls -l。
注意:您需要注销/登录才能使对组的更改生效!
Zor*_*che 62
我不完全确定您想如何配置权限,但这可能会给您一个起点。可能有更好的方法。我假设您希望两个用户都能够更改 /var/www/ 下的任何内容
这意味着您的任何一个用户创建的任何新文件都应该是 username:www-pub 0664 并且创建的任何目录都将是 username:www-pub 2775。Apache 将通过“其他用户”组件获得对所有内容的读取访问权限。目录上的 SETGID 位将强制所有正在创建的文件归拥有该文件夹的组所有。需要调整 umask 以确保设置写入位,以便组中的任何人都能够编辑文件。
至于我在权限方面的核心。这完全取决于站点/服务器。如果只有 1-2 个编辑器,而我只需要防止他们把事情弄得太糟,那么我会很轻松。如果业务需要更复杂的东西,那么我会设置更复杂的东西。
Joe*_*way 39
我认为您可能会发现 POSIX ACL(访问控制列表)很有帮助。与 user:group:other 模型相比,它们允许更细粒度的权限模型。我发现它们更容易记住,因为我可以更明确,还可以为文件系统的分支设置“默认”行为。
例如,您可以明确指定每个用户的权限:
setfacl -Rm d:u:userA:rwX,u:userA:rwX /var/www
setfacl -Rm d:u:userB:rwX,u:userB:rwX /var/www
或者您可以基于某个共享组来执行此操作:
setfacl -Rm d:g:groupA:rwX,u:groupA:rwX /var/www
也许您希望将您的 Apache 用户保持为只读
setfacl -Rm d:u:www-data:rX,u:www-data:rX /var/www
手册页:
Esa*_*nen 12
这个问题再次被问到,正如在元上讨论的那样,当前的最佳实践提供了比 2009 年提出的更好的方法。这个答案试图提供一些当前的解决方案来安全地处理协作 Web 开发环境。
对于安全的 Web 服务器和协作开发,不仅仅是文件权限:
每个站点都有单独的用户,即不要使用www-data. 这很重要,因为如今 Apache 很少只提供静态内容文件,而是运行动态网站。这个答案集中在 PHP 上,因为它是最常见的服务器站点语言,但同样的原则也适用于其他语言。
如果您在单个站点上遇到安全问题,它可能会蔓延到以同一用户身份运行的每个站点。攻击者可以看到用户看到的一切,包括数据库登录信息,并修改用户拥有写入权限的每个站点。
使用SSH 文件传输协议(SFTP)。虽然出于安全考虑应该放弃使用 FTP(因为它以纯文本形式发送密码和内容),但它的安全替代品 SFTP 还具有一个功能,是协作 Web 开发的完美解决方案。
一旦您隔离了站点和每个站点的一个用户,您需要向您的 Web 开发人员授予访问权限,这个问题是关于什么的。您可以使用SSH 密钥登录,而不是向他们提供这些站点用户的密码——或者按照最初的建议使用他们的个人用户帐户访问站点文件。
每个开发人员都可以生成密钥对并将私钥保密。然后,将公钥添加到~/.ssh/authorized_keys开发人员正在处理的每个网站用户帐户的文件中。这对于管理密码和登录有很多好处:
每个开发人员都可以访问任意数量的网站,而无需记住或存储与用户每个站点安排相关的所有密码。
无需在每次有人离开公司时更改和共享密码。
您可以使用非常强的密码或完全禁用基于密码的登录。
使用 PHP-FPM。这是当前以用户身份运行 PHP 的方法。为每个用户创建一个新池,即每个站点一个池。这对安全性和性能都是最好的,因为您还可以指定单个站点可以消耗多少资源。
参见例如 NeverEndingSecurity's Run php-fpm with separate user/uid and group on linux。有一些教程,例如 HowtoForge在 Ubuntu 16.04 上使用 PHP-FPM 和 Apache,它不使用 PHP-FPM 通过用户分离来提高安全性,指导在整个服务器上使用单个 FPM 套接字。
| 归档时间: |
|
| 查看次数: |
174284 次 |
| 最近记录: |