it-swarm-ru.tech

Каков наилучший способ обработки разрешений для пользовательских данных Apache 2 в / var / www?

Кто-нибудь получил хорошее решение для обработки файлов в /var/www? Мы используем виртуальные хосты на основе имен, а пользователь Apache 2 www-data.

У нас есть два постоянных пользователя и root. Так что когда возиться с файлами в /var/www, вместо того, чтобы ...

chown -R www-data:www-data

... все время, какой хороший способ справиться с этим?

Дополнительный вопрос: Насколько жестким вы тогда получаете разрешения?

Это всегда было проблемой в средах совместной разработки.

218
Gareth

Попытка расширить на @ Zoredache's answer , так как я сам попробую:

  • Создайте новую группу (www-pub) и добавьте пользователей в эту группу

    groupadd www-pub

    usermod -a -G www-pub usera ## необходимо использовать -a для добавления к существующим группам

    usermod -a -G www-pub userb

    groups usera ## отображать группы для пользователя

  • Измените владельца всего в/var/www на root: www-pub

    chown -R root:www-pub /var/www ## -R для рекурсивного

  • Измените разрешения для всех папок на 2775

    chmod 2775 /var/www ## 2 = установить идентификатор группы, 7 = rwx для владельца (root), 7 = rwx для группы (www-pub), 5 = rx для мира (включая www-данные Apache пользователь)

    Установка идентификатора группы ( SETGID ) bit (2) приводит к тому, что группа (www-pub) копируется во все новые файлы/папки, созданные в этой папке. Другими вариантами являются SETUID (4) для копирования идентификатора пользователя и STICKY (1), который, я думаю, позволяет только владельцу удалять файлы.

    Это -R рекурсивная опция, но она не будет различать файлы и папки, поэтому вы должны использовать find , вот так:

    find /var/www -type d -exec chmod 2775 {} +

  • Измените все файлы на 0664

    find /var/www -type f -exec chmod 0664 {} +

  • Измените umask для ваших пользователей на 0002

    Umask управляет разрешениями на создание файлов по умолчанию, 0002 означает, что файлы будут иметь 664, а каталоги 775. Установите это (отредактировав строку umask внизу /etc/profile в моем случае) означает, что файлы, созданные одним пользователем, будут доступны для записи другим пользователям в группе www без необходимости chmod их.

Проверьте все это, создав файл и каталог и проверив владельца, группу и разрешения с помощью ls -l.

Примечание. Чтобы изменения в группах вступили в силу, вам необходимо выйти из системы!

209
Tom

Я не совсем уверен, как вы хотите настроить разрешения, но это может дать вам отправную точку. Там, вероятно, есть лучшие способы. Я предполагаю, что вы хотите, чтобы оба пользователя могли что-либо изменить в/var/www /

  • Создайте новую группу (www-pub) и добавьте пользователей в эту группу.
  • Измените владельца всего в/var/www на root: www-pub.
  • Измените разрешения всех папок на 2775
  • Измените все файлы на 0664.
  • Измените umask для ваших пользователей на 0002

Это означает, что любой новый файл, созданный любым из ваших пользователей, должен иметь имя пользователя: www-pub 0664, а любой создаваемый каталог будет именем пользователя: www-pub 2775. Apache получит доступ на чтение ко всему через компонент "другие пользователи". Бит SETGID для каталогов заставит все созданные файлы принадлежать группе, которой принадлежит папка. Настройка umask необходима для того, чтобы убедиться, что бит записи установлен так, что любой человек в группе сможет редактировать файлы.

Что касается того, как хардкор я иду на разрешения. Это полностью зависит от сайта/сервера. Если есть только 1-2 редактора, и мне просто нужно, чтобы они не слишком сильно ломали вещи, тогда мне будет легко. Если бы бизнес требовал чего-то более сложного, я бы создал что-то более сложное.

62
Zoredache

Я думаю, что вам может пригодиться POSIX ACL (списки контроля доступа). Они допускают более детальную модель разрешений по сравнению с моделью user: group: other. Я обнаружил, что их проще держать в голове, так как я могу быть более явным, а также могу установить поведение "по умолчанию" для ветви файловой системы.

Например, вы можете явно указать разрешения каждого пользователя:

setfacl -Rm d:u:userA:rwX,u:userA:rwX /var/www
setfacl -Rm d:u:userB:rwX,u:userB:rwX /var/www

Или вы можете сделать это на основе какой-то общей группы:

setfacl -Rm d:g:groupA:rwX,u:groupA:rwX /var/www

И, возможно, вы хотите оставить своего пользователя Apache доступным только для чтения

setfacl -Rm d:u:www-data:rX,u:www-data:rX /var/www

Справочные страницы:

учебное пособие

39
Joe Holloway

Этот вопрос был задан снова , и, как обсуждено в отношении мета, текущая передовая практика обеспечивает лучшие подходы, чем те, которые были доступны в 2009 году, когда этот вопрос задавался. Этот ответ пытается дать некоторые текущие решения для безопасного управления средами совместной веб-разработки .


Для безопасного веб-сервера и совместной разработки есть больше, чем просто права доступа к файлам:

  • Для каждого сайта должен быть отдельный пользователь , т. Е. Не обслуживать все сайты, используя www-data. Это важно, поскольку в настоящее время Apache редко обслуживает только static файлы содержимого, но работает dynamic веб-сайтов. Этот ответ концентрируется на PHP, поскольку это наиболее распространенный язык сервера-сайта, но те же принципы применимы и к другим.

    Если у вас есть проблема с безопасностью на одном сайте, она может распространиться на все сайты, на которых работает один и тот же пользователь. Злоумышленник может видеть все, что видит пользователь, включая информацию для входа в базу данных, и изменять каждый сайт, на который у пользователя есть права на запись.

  • Используйте SSH File Transfer Protocol (SFTP). При использовании FTP следует отказаться от безопасности (так как он отправляет оба пароли и содержимое в виде простого текста), это безопасная замена SFTP также имеет функцию, которая является идеальным решением для совместной веб-разработки.

    После того, как вы изолировали сайты и по одному пользователю на сайт, вам нужно предоставить доступ своим веб-разработчикам, о чем этот вопрос. Вместо того, чтобы давать им пароли для этих пользователей сайта - или для доступа к файлам сайта, используя их личные учетные записи, как это было изначально предложено - вы можете использовать ключи SSH для входа в систему.

    Каждый разработчик может создать пару ключей и сохранить секретный ключ в секрете. Затем открытый ключ добавляется к ~/.ssh/authorized_keys файл для каждой учетной записи пользователя веб-сайта, над которой работает разработчик. Это имеет много преимуществ для управления паролями и логинами:

    • Каждый разработчик может иметь доступ к любому количеству веб-сайтов без необходимости запоминать или хранить все пароли, связанные с соглашением по каждому сайту.

    • Не нужно менять пароли и делиться ими каждый раз, когда кто-то покидает компанию.

    • Вы можете использовать очень надежные пароли или вообще отключить логин на основе пароля.

  • Используйте PHP-FPM . Это текущий подход для запуска PHP как пользователь. Создайте новый пул для каждого пользователя, то есть один пул на каждый сайт. Это лучше всего для безопасности и производительности, так как вы также можете указать, сколько ресурсов может потреблять один сайт.

    Смотрите, например NeverEndingSecurity's Запустите php-fpm с отдельным пользователем/uid и группой в linux . Существуют учебные пособия, такие как HowtoForge: Использование PHP-FPM с Apache в Ubuntu 16.04 , в которых PHP-FPM не используется для повышения безопасности за счет разделения пользователей, что помогает использовать один сокет FPM на сервере.

11
Esa Jokinen