Несколько экземпляров Apache — проблемы с разрешениями

tag-icon tag-icon apache-2.2 debian permissions
Несколько экземпляров Apache — проблемы с разрешениями

У меня странная ситуация... Я настроил несколько экземпляров Apache под Debian:

  1. Установка по умолчанию остается как есть, но отключена и остановлена
  2. Пользовательский экземпляр (apache2-apps)

Идея заключалась в том, чтобы запускать каждый экземпляр от имени отдельных пользователей — Apache по умолчанию будет запускать сторонние приложения (WordPress, Drupal, OpenCart и т. д.)

Вторым вариантом будет запуск наших собственных приложений, работающих с конфиденциальными данными...

Идея/надежда, стоящая за этой настройкой, заключалась в том, чтобы изолировать приложения от программного обеспечения веб-сайта — не прибегая к виртуальной машине (так как я уже работаю в одной), а также немного упростить настройку и обеспечить безопасность? Тогда Apache VirtualHost и/или PHP CGI

В любом случае... проблема, с которой я столкнулся, заключается в том, что каталогу /var/www требуется:

1. 755 permissions which make it readable by OTHER
 --- OR ----
2.I need to make www-data or www-apps an owner or group of this base directory.

Моя текущая структура файлов выглядит следующим образом:

/var
  /www (user/group: webmin => RWXRWX--X)
    /applications (user/group: www-apps)
    /websites (user/group: www-data)

Такая настройка заставила бы меня поверить, что я смогу настроить установку Apache по умолчанию для docroot/var/www/websitesи apache2-apps docroot/var/www/applications

Каждый с другим пользователем/группой (www-данныеиwww-приложениясоответственно), тем самым изолируя любые нарушения безопасности, которые могут возникнуть на общедоступных веб-сайтах.

Проблема, с которой я сталкиваюсь, возникает, когда я изменяю docroot каждого экземпляра Apache так, чтобы он указывал на:

/var/www/applications
/var/www/websites

если я удаляю "другие" разрешения на чтение/исполнение для /var/www, так что 770 -- apache выдает мне ошибку "Forbidden 403" при доступе к URI, сопоставленному с каждым docroot, перечисленным выше. Я не уверен, что понимаю, почему... docroot каждого из вышеперечисленных имеют разрешения 775

Может кто-нибудь объяснить, почему я сталкиваюсь с этой проблемой? Что я не понимаю в работе разрешений? Ни одна из конфигураций apache не указывает на /var/www, а каждый экземпляр указывает на свой соответствующий каталог на один уровень глубже.

Алекс

решение1

При доступе к каталогу все вышестоящие каталоги также требуют как минимум разрешения на выполнение для этого пользователя (или группы), в противном случае приложению не будет разрешено переключиться на этот каталог или каталог нижележащего уровня.

Связанный контент