Richtige Verwendung von WWW-Daten zum sicheren Hinzufügen/Bearbeiten/Entfernen

tag-icon tag-icon lamp www-data
Richtige Verwendung von WWW-Daten zum sicheren Hinzufügen/Bearbeiten/Entfernen

Nach dem Erstellen eines LAMP-Stacks wird meines Wissens nach Apacheein www-dataBenutzer erstellt. Sie können sich jedoch nicht direkt als anmelden www-data(Sicherheitsgründe). Wenn Sie stattdessen etwas als tun möchten, www-datamüssen Sie Folgendes ausführen:

su -s /bin/bash www-data

Damit kann ich leben. Ich habe aber 2 Fragen:

  1. Was tun Sie, wenn Sie Dateien per FTP hochladen möchten? Derzeit muss ich als Root-Benutzer per FTP zugreifen und chowndie Dateien www-datanach dem Hochladen wieder an senden. Ich verwende Magento und dieses Setup verlangt, dass ich nur die ownerBerechtigungen für erteile write. Andernfalls würde ich nur writeZugriff auf gewähren group.
  2. Was tun Sie, wenn Sie einem Nicht-Root-Benutzer den Zugriff suals erlauben möchten www-data? Denn wenn Sie su -s /bin/bash www-dataals normaler Benutzer ausführen, sieht dieser This account is currently not available.

Antwort1

Soweit ich weiß, erstellt Apache einen WWW-Datenbenutzer

Nein. Die meisten Paketverwaltungssysteme erstellen beim Bereitstellen der Software einen Benutzer.

Sie können sich nicht direkt als [dieser Benutzer] anmelden

Ja, wie Sie sagen, wird dies aus Sicherheitsgründen häufig gemacht.

du musst ... su -s /bin/bash www-data

Wenn die Systemkonfiguration dies zulässt, ist es manchmal sogar deaktiviert.

Was tun Sie, wenn Sie Dateien per FTP hochladen möchten?

Sie erarbeiten ein Berechtigungsmodell, das es den jeweiligen Benutzern erlaubt, Dateien bereitzustellen und zu ändern, und der Webserver-UID, diese Dateien zu lesen. InsehrIn seltenen und kontrollierten Fällen konfigurieren Sie Speicherorte außerhalb des Dokumentstamms, in die die Webserver-UID schreiben kann.

Auf jedem von mir konfigurierten Webserver ist die Webserver-UID das Konto mit den geringsten Berechtigungen, daher habe ich ihm Lesezugriff über den Berechtigungsslot „andere“ gewährt, z. B.

  colin@animal /var/www/html $ ls -l
  total 28
  -rw-rw-r-- 1 colin webdev  11321 Dec 27  2016 index.html
  drwxrwsr-x 2 colin webdev   4096 Jan 10  2017 session
  -rw-rw-r-- 1 colin webdev    148 Feb 18  2018 login.php
  drwxrwsr-- 1 colin grafx    4096 Jan  9  2017 images
  -rw-rw-r-- 1 colin grafx    8334 Jul  4 21:59 logo.png

Berechtigungen sind das Mittel, mit dem SieAktieZugriff gewähren, nicht Zugriff verweigern.

Erlauben Sie einem Nicht-Root-Benutzer, su als www-data zu verwenden.

Ich nicht. Das sollte nie nötig sein.

verwandte Informationen