私は基本的に小さなデータプロジェクトとファイルをホストするために小さなWebサーバーを運営しています。サーバーにはパブリックIPアドレスがあります。
FTPを介して直接ファイルをアップロードできるようにしたいので、ユーザーがパスワードを持って直接ログインできる/var/www/*ようにすることを検討しています。www-dataこれにより、Webディレクトリで作業を実行するたびにファイルの所有権を変更する必要もなくなります(現在はrootとしてこれを行うため、セキュリティ上のリスクもあります)。
www-data ユーザーがログインできるようにすると、セキュリティ上のリスクはありますか?それでは、最良の選択は何ですか?
ベストアンサー1
1つのセキュリティリスクは、Webサーバー自体を殺すことも、別の方法で破棄することができることです(同じユーザーを使用するため)。これはおそらく欲しいものではありません。ルートを使用する場合も同様です。
2つの解決策:
あなた自身のためのサブディレクトリを作成し
/var/www、自分自身にchownして、自分のユーザーを使用してください。 (または新規作成)例:
root@box# mkdir /var/www/joes-toys root@box# chown joeuser:joegroup /var/www/toys root@box# chmod u=rwx,g=rx,o=rxあなたのユーザー(自分または新しいユーザー)をwww-dataグループに入れ、グループに書き込み権限があることを確認してください。
/var/www例:
root@box# adduser joeuser www-data root@box# chgrp -R www-data /var/www root@box# chmod -R g+w /var/www
PS:今、暗号化されていないFTPを使用しないでください! sftp(sshファミリで)または少なくともftps(sslを介したftp)を使用してください。