문제는 정확한 문제가 아니라 모범 사례에 관한 것입니다.
정적 웹사이트 파일 및 디렉터리에 대한 올바른 소유권과 권한은 무엇입니까? root:<server-group>파일에는 640 권한, 디렉터리에는 750 권한을 사용하겠습니다 . 따라서 서버는 그룹 권한으로 인해 모든 것을 읽을 수 있지만 일반 사용자는 명시적으로 sudo를 사용하지 않고 실수로 또는 고의로 파일을 수정할 수 없습니다.
아니면 내가 모르는 더 나은 방법이 있을까요? 내 접근 방식은 약간 복잡해 보입니다.
답변1
사용자가 책임이 있는 파일을 수정하는 것을 방지하기 위해 루트는 필요하지 않습니다. 파일을 동기화하는 서비스 사용자와 같이 권한이 없는 사용자에게 소유권을 부여하여 동일한 작업을 수행할 수 있습니다.
이상적으로는 웹 서버를 실행하는 사용자나 특정 사람이 아니라 파일 전송을 수행하는 일부 자동화 사용자일 뿐입니다. 콘텐츠 스테이지 파일을 담당하는 사람은 일부 저장소에 파일을 복사하고 배포할 준비가 되면 파일을 해당 위치에 복사합니다. 사람들이 프로덕션 웹 서버를 만질 필요도 없고 특별한 권한도 필요하지 않습니다.
루트가 소유하고 파일을 재구성하거나 변경하려면 관리자 또는 자동화된 스크립트가 루트가 되어야 할 수 있습니다. 보안 조치를 제거하거나 호스트를 손상시킬 수 있는 매우 높은 권한입니다.
물론 마운트 지점이나 소프트웨어 패키지를 루트가 소유하는 것이 합리적이므로 시스템을 변경하려면 권한이 필요합니다. 예를 들어 웹 사이트 콘텐츠가 /srv/www/example.net/에 있는 경우 /srv/ 및 /srv/www/는 루트가 소유할 수 있으며 /srv/www/example.net/과 같은 웹 사이트는 권한이 없는 사용자가 소유합니다.