Apache / meの読み取り、書き込み、および実行権限の問題が頻繁に発生します。 「konrad」グループにはユーザー「konrad」(私)があり、Apacheで使用される「www-data」グループにはユーザー「www-data」があります。私が("konrad")ディレクトリを作成すると、Apacheはフォルダに書き込む権限がないため、問題が発生します。
今、次のような「アイデア」ができました。私自身(ユーザー「konrad」)を「www-data」グループ(Apacheのユーザーもこのグループに属します)に追加し、すべてのwwwプロジェクトをユーザー「に属するようにchownします。 konrad」しかしグループ:「www-data 」。グループがファイルとディレクトリに対するすべての権限を持つようにプロジェクトをchmodします(770である必要があると思います)。
その後、デフォルトグループを「konrad」から「www-data」に変更して、新しいディレクトリ/ファイルを作成するたびに、Apacheにもそのグループへのフルアクセス権があります。
問題はこれが良い考えなのかということです。私は権限やUnix自体についても良い経験はありません。おそらく私が何かを見逃しているようです。しかし、それは私にとって合理的なようです。
ベストアンサー1
www-dataApacheは、Debianディストリビューションでセキュリティという理由で、権限のないユーザーとして実行されます。
権限を放棄するデーモンを処理するときに、可能であれば、デーモンを実行する権限を持たないユーザーの所有権を持つ構成ファイルまたはデータファイルを生成しない方が良いセキュリティプラクティスと見なされます。そのため、Apache ユーザーが侵害されると、攻撃者がサイトを混乱させたり破損したりするのが難しくなります。
可能であれば、他のユーザーとしてサイトを作成し、www-dataグループには読み取り権限のみを付与し、実際に必要なディレクトリのwww-dataへの書き込み権限のみを付与することをお勧めします。ただし、mod-ruid2を使用してこれを回避することもできます。
mod-ruid2は実際にはすべてのサイト/仮想ホストを所有者と一緒に実行することを可能にし、ページのセキュリティモデルを処理する方がはるかに簡単です。誰でも書き込み可能なディレクトリを作成する必要はありません。また、ある仮想ホストが破損した場合、攻撃者が他の仮想ホストにマルウェアを植えることができないようにします。
mod-ruid2は、ホスティングモデルを使用するすべての人にお勧めします。ここでは、これを使用して数百のサイトをかなりの成功で運営しています。
残念ながら、mod-ruid2のドキュメントは少しまれであるため、これを説明する詳細な記事を書く必要がありました。UnixとLinuxで。