Ist es sicher, den Besitzer des Ordners „html/“ in Apache zu ändern?

Das Ändern des Eigentümers von Dateien ist völlig ungefährlich /var/www. Sie können alle Inhalte dieses Ordners nach Belieben bearbeiten und ändern.

Wenn der Benutzer beispielsweise tsmithin Dateien in schreiben können muss, /var/www/mywebist es völlig in Ordnung, den Besitzer dieser Dateien auf festzulegen tsmith. Oder, wenn Sie es vorziehen, behalten Sie den Besitzer bei rootund verlangen Sie tsmithsudo, um in die Dateien schreiben zu können – wenn Sie ihm/ihr mit sudo vertrauen.

Wenn Sie mehrere Benutzer haben, die die Dateien bearbeiten können müssen, und Sie ihnen kein sudo erteilen möchten, können Sie alternativ die Gruppenmitgliedschaft verwenden. Erstellen Sie beispielsweise eine Gruppe und fügen Sie Benutzer zu dieser Gruppe hinzu. Legen Sie dann Gruppeneigentum und Gruppenschreibrechte für die entsprechenden Dateien fest, damit Mitglieder dieser Gruppe diese Dateien ändern können. Dabei möchten Sie wahrscheinlich das SetGID-Bit ( chmod g+s dir) im enthaltenen Verzeichnis verwenden, um sicherzustellen, dass neue Dateien denselben Gruppenbesitz erben, und umask 002in jedem Benutzer, ~/.profileum sicherzustellen, dass sie Gruppenschreibrechte erhalten, da sonst alle neuen Dateien nur von ihrem Ersteller und nicht von anderen Mitgliedern der Gruppe bearbeitet werden können.

Sie sollten sich jedoch der folgenden schlechten Praktiken bewusst sein:

• Legen Sie den Eigentümer von Dateien nicht auf den www-dataBenutzer oder die www-dataGruppe fest, wenn Sie der Gruppe Schreibberechtigungen erteilen. Der www-dataBenutzer ist ein nicht privilegierter Benutzer, der keine Dateien schreiben kann. Server-Daemons, auf die vom externen Netzwerk aus zugegriffen werden kann (z. B. der Webserver), werden normalerweise als nicht privilegierter Benutzer ausgeführt, sodass die Möglichkeiten des Angreifers, sie aufgrund einer Sicherheitslücke zu hacken, minimal sind.

  Ausnahme: Einige Webanwendungen erfordern Schreibzugriff auf bestimmte Dateien und Ordner, um beispielsweise die Speicherung von Anhängen usw. zu implementieren. In diesen Fällen sollten Sie den Eigentümer aufwww-data NURfür diese Dateien, wobei die Anzahl der beschreibbaren Dateien auf www-dataein Minimum beschränkt bleiben muss.

• Aus demselben Grund sollten Sie keine Dateien für alle Benutzer beschreibbar machen.

• Wenn Sie Gruppen erstellen, verwenden Sie keine vorhandenen Benutzergruppen wie adminoder sudoinsbesondere www-data, die bereits in Ubuntu einen Zweck haben, für einen anderen Zweck. Dies kann die Systemsicherheit beeinträchtigen, wenn diese Gruppen nicht dazu gedacht sind, in Dateien schreiben zu können. Erstellen Sie stattdessen Ihre eigenen Gruppen und fügen Sie diesen Mitglieder hinzu.

Es ist nicht sehr sicher, Verzeichnisse oder Dateien mit Root-Berechtigungen (Eigentümerrechte oder Einzelrechte) zu verwenden. Bei statischen HTML-Dateien wäre das kein großes Sicherheitsproblem, aber sobald dort Skripte (PHP, JavaScript, Formulare usw.) ausgeführt werden, können ernsthafte Probleme auftreten.

Wenn Sie nur Inhalte (HTML, Bilder usw.) bereitstellen müssen, ist es nicht erforderlich, den Verzeichnissen/Dateien in einen speziellen Besitz zuzuweisen /var/www, solange der Apache2-Benutzer ( www-data) über die Berechtigung zum Zugriff auf die Inhalte verfügt.

Falls Sie noch mehr tun müssen, müssen Sie möglicherweise die Eigentümer ändern. Wenn Sie beispielsweise Dateien aus einem CMS (wie WordPress, Joomla usw.) hochladen müssen, müssen Sie den Eigentümer des Upload-Verzeichnisses ändern www-data(oder diesem Benutzer zumindest Schreibrechte erteilen).

Mir persönlich /var/wwwgehören die Verzeichnisse dem rootBenutzer mit Mod 1777(dasselbe wie /tmp) und die Websites (d. h.: /var/www/site1), die dem gehören www-data.

Ich hoffe es hilft!