/ Var / www içerisinde çalışırken sudo kullanmaktan nasıl kaçınılır?


173

Her sudoçalıştığımda kullanmak zorunda kalmaktan vazgeçmek istiyorum /var/www. Bunu nasıl yapabilirim? Sadece tüm sitelerimi bu dizine koymak ve çok fazla acı çekmeden onlarla çalışmak istiyorum.


3
Apache kullanıyor musunuz?
Rinzwind

1
Burada okuduktan sonra, bu izin bölümünde de yardımcı olabilir: askubuntu.com/questions/20105/…
Luis Alvarado

2
Güvenliği sağlamanın bir başka yolu da kullanmaya devam etmektir, sudo -u www-dataancak sudoersdosyada kendinizi sudo www-data(ancak sudo root değil) yapabilmek için kısıtlayın . Bkz serverfault.com/questions/295429/...
Simon Woodside

Yanıtlar:


250

Buradaki çoğu cevap akılda güvenlik ile yazılmaz. sudoHer seferinde koşmanın pek akıllıca olmadığını hissetmek güzel . Bir yazım hatası yaparsanız (örneğin, yanlış bir yerde tek bir beyaz boşluk: sudo rm -rf / var/www/dir yürütme! ), Sisteminizi çöpe atabilirsiniz.

Not: Apache 2.4.7 / Ubuntu 14.04 ile başlayarak, /var/wwwtaşındı /var/www/htmlbuna göre bu cevap komutları ayarlayın.

Görmek:

Kötü fikirler:

  • chmod 777(sagarchalise) - Bu, sisteminize erişimi olan herkesin dizinlere ve dosyalara girmesini ve böylece davetsiz misafirin www-datakullanıcı altında herhangi bir kodu çalıştırmasını sağlar
  • chgrp -R www-data $HOME(koçanı) - bu www-data, ana dizindeki herhangi bir dosyayı okumanıza veya yazmanıza izin verir . Bu, En Az Ayrıcalık kuralını akılda tutmuyor
  • chown -R $USER:$USER /var/www(kv1dr) - dünya üzerinde okuma izinleri olmadığı sürece, /var/wwwaltında çalışan web sunucusu www-datadosyaları okuyamaz (sunamaz) . Dosya herkese açık bir HTML belgesi ise, dünya dosyayı okuyabilirse sorun olmayabilir. Ancak, dosya parola içeren bir PHP dosyasıysa, öyledir.

NOT : Aşağıdaki çözümlerde, www-datayazma ayrıcalıkları verdim . Bununla birlikte, şunu /usr/share/doc/base-passwd/users-and-groups.txt.gzbelirtir:

www veri

Bazı web sunucuları www-data olarak çalışır. Web içeriği bu kullanıcıya ait olmamalıdır, aksi halde tehlikeye atılmış bir web sunucusu bir web sitesini yeniden yazabilir. Web sunucuları tarafından yazılan veriler www verisine aittir.

Mümkün olan yerlerde, do not yazma izni vermek www-datagrubunda. www-datasadece web sunucusu hizmet verebilmesi için dosyaları okuyabilmesi gerekir. www-dataİhtiyaç yazma izinlerinin alındığı tek durum , yükleme yapan dizinler ve yazılması gereken diğer yerler içindir.

1. Çözüm

Kendinizi www-datagruba ekleyin ve /var/wwwdizinin üzerindeki setgid bitini ayarlayın, böylece yeni oluşturulan tüm dosyalar da bu gruba geçer.

sudo gpasswd -a "$USER" www-data

Önceden oluşturulan dosyaları düzeltin (yalnızca kullanıcı olduğunuzu varsayarak /var/www):

sudo chown -R "$USER":www-data /var/www
find /var/www -type f -exec chmod 0660 {} \;
sudo find /var/www -type d -exec chmod 2770 {} \;

(daha güvenli: web sunucusu tarafından yazılabilir olması için 640veya veya 2750manuel olarak kullanın chmod g+w file-or-dir)

2. Çözüm

Her proje için ana dizininize bir bağlantı oluşturun. Projenizi bulunduğunu ~/projects/foove sizin yerleştirilmesini istediğinizi söyleyin /var/www/foo, çalıştırın:

sudo ln -sT ~/projects/foo /var/www/foo

Giriş dizininizde other(güvenlik nedeniyle ) ayarlanmış yürütme biti (alçalma) yoksa , grubunu değiştirin www-data, ancak çalıştırma biti olarak ayarlayın (okuma / yazma yok). İçin de yapın ~/projectso www dışındaki projeler içerebilir olarak klasörde. ( sudoKullanıcıyı daha önce www-datagruba eklediyseniz buna gerek yoktur .)

sudo chgrp www-data ~ ~/projects
chmod 710 ~ ~/projects

Grubun Set www-dataüzerinde ~/projects/foove web sunucusu okumak ve dosyaları ve dosyaların + dizinlere yazmak ve dizinlere inmek için izin:

sudo chgrp www-data ~/projects/foo
find ~/projects/foo -type f -exec chmod 660 {} \;
find ~/projects/foo -type d -exec chmod 2770 {} \;

Daha güvenli: varsayılan olarak 640 ve 2750'yi kullanın ve web sunucusu kullanıcısı tarafından yazılabilmesi gereken dosyaları ve dizinleri elle chmodlayın. Setgid biti sadece yeni yaratılan her dosyanın ~/projects/foogrup tarafından erişilebilir olmasını istiyorsanız eklenmelidir .

Artık sitenize erişebilir http://localhost/foove proje dosyalarınızı düzenleyebilirsiniz ~/projects/foo.

Ayrıca bakınız


Terminalde bir www oturumu hakkında ne düşünüyorsunuz sudo su www-data? Farklı bir renkli bilgi istemi ile birleştirildiğinde, farklı bir kullanıcının kabuğu olduğunu daha açık hale getirmek ve her zaman buna karşılık gelen xterm'i (örneğin, sanal masaüstünü 4) koymak için bir politika karışıklığı önlemek?
kullanıcı bilinmeyen

@ user unknown: Eğer terminaldeki her şeyi yaparsanız, kullanıcı hesapları arasında açık bir ayrım yaparsanız. Ama eğer böyle bir GUI programı kullanıyorsanız işe yaramayacak gedit. Mevcut oturumda bir GUI programının başka bir kullanıcı altında çalıştırılmasının güvenli olup olmadığını asla araştırmadım, ilginç bir soru olurdu.
Lekensteyn

1
@ imaginaryRobots: Her soru için farklı çözümler gönderecektim, Askubuntu üç satırın cevaplarıyla doluydu. Beni ayrılmaya ikna edemediğiniz sürece devam edeceğim.
Lekensteyn

1
@ berbt setfacl -d u::rwX,g::rX /var/www, komik modda, umask sıfır olsa bile, varsayılan modun 0750 (veya 0640) haline gelmesine neden oluyor. Dünyada yazılabilir dosyalardan kaçınmak istiyorsanız iyi bir fikir olabilir, ancak /var/wwwdünya tarafından erişilemiyorsa, buna gerek yoktur.
Lekensteyn

1
1. çözümde sürecin tersine çevrilmesiyle ilgili bir sorun mu var? Yani /var/www/app01sahiplik var app01:app01ve sonra www-data kullanıcı app01 gruba eklenir ? Yoksa bu bir şeyi mi kıracak?
Jack_Hu

9

Web sitelerimi / var / www adresinde saklamak yerine ana klasörümde bulunan sitelere bağlantılar yerleştiriyorum. Sitelerimi serbestçe düzenleyebilir veya sayfa ekleyebilirim. Değişikliklerden memnun olduğumda, etki alanı adımın bağlandığı bir hosting şirketine FTP gönderiyorum.


Bu mantıklı bir fikir.
thomasrutter

7

/ Var / www grubuna göre yazılabilir hale gelir ve kendinizi gruba eklerseniz, hala güvende olurken sudo kullanmanız gerekmez. Bunu dene:

sudo adduser <username> www-data
sudo chown -R www-data:www-data /var/www
sudo chmod -R g+rw /var/www

Daha sonra /var/www/sorunsuz bir şekilde dosyaları düzenleyebilmelisiniz .

İlk satır sizi www-datagruba ekler , ikinci satır karışmış mülkiyete sahip tüm dosyaları temizler ve üçüncüsü www-datagrubun üyesi olan tüm kullanıcıların tüm dosyaları okuyup yazabilmesi için yapar /var/www.


4
Bu, güvenlik için çok kötü bir fikirdir ve diğer cevaplarda açıklanan nedenlerden dolayı bu tavsiyeye uyulmamalıdır. www- data'nın yazma erişimi olmayan, ayrıcalıklı bir grup olması gerekiyordu .
thomasrutter

5

Yapılmaması Gerekenler

  • Dosya izinlerini 777 olarak ayarlamayın (dünyaca yazılabilir)

    Bu, özellikle PHP gibi sunucu tarafı komut dosyalarını etkinleştirirseniz, önemli bir güvenlik açığıdır. Ayrıcalıklı olmayan işlemler web sitesini etkileyebilecek dosyalara yazılamamalı veya sunucu tarafı komut dosyası kullanılıyorsa, rasgele kod yürütmemelidir.

  • Kendinizi www-data grubunun bir üyesi olarak eklemeyin ve yazma izinlerini vermeyin.

    Bu grubun amacı , sunucunun işlem yaptığı bir ayrıcalıklı olmayan grup olmasıdır . Yukarıdakilerle aynı nedenlerden ötürü, web sitesi dosyalarına yalnızca mümkün olduğunda okuma erişimi olmalıdır.

  • Apache işlemlerinin izinlerini değiştirmeyin

    Apache alt işlemleri www-datavarsayılan olarak kullanıcı ve grup olarak çalışır ve bu değiştirilmemelidir. Bu sadece dosya sistemine yazma izni vermemenin bir yoludur.

    Bazı durumlarda sunucu tarafı komut dosyalarınızın dosyalara yazabilmesini istersiniz; bu durumda yalnızca bu dosyalar yazılabilir olmalı www-datave güvenliği sağlamak için özen gösterilmelidir.

Dos

  • Kendinize ait olacak dosyaları ayarlayın

    Web sitesindeki bazı dosyaları değiştirmek için tek veya normal dosyalardan biriyseniz, o zaman bu dosyalara sahip olmak tam anlamlıdır. Sahibini olarak ayarlayın <your username>.

    Bunun için sunucu izinlerini değiştirmeniz gerekmez, çünkü dosyalar size ait olduğunda bile sunucu salt okunur erişim almaya devam eder.

  • Dosyaları yerleştirmek için makul bir yer seçin ( DocumentRoot'u kullanarak )

    Eğer /var/wwwmantıklı değil, başka bir yerde yerleştirmek için bekliyoruz. Kendi geliştirmelerinize veya testlerinize özellerse, onları ana dizininize yerleştirebilirsiniz. Ya da bazı dizinler kurabilirsiniz /srv.

  • Grup yazma erişimine izin vermek istiyorsanız , amaç için yeni bir grup oluşturun.

    Bir sistem grubunu tekrar kullanmayın, çünkü bunlar genellikle güvenlik nedeniyle, şu anda sahip oldukları erişime sahip olacak şekilde tasarlanmıştır.


5

Bu kadar basit. 'UserDir' apache'sini (tavsiye edilmez) etkinleştirmenize veya 'www-data' gruplarını (Fedora'da olması durumunda apache grubu) karıştırmaya gerek yok

Sadece proje dizininizi yaratın /var/www/html

cd /var/www/html
sudo mkdir my_project

Ardından, proje dizinini kullanıcınıza yönlendirin.

sudo chown your_username my_project

Artık proje klasörünüz üzerinde normal bir kullanıcı olarak istediğiniz herhangi bir editör, IDE ile çalışmaya başlayabilirsiniz. Artık sudos :)


1
+1 Yaptığım şey şu: mülkiyeti /var/wwwkendinde değil, alt dizinlerde de değiştir.
fkraiem

2

sahibinin erişmesine izin vermek için www / chmod yazın ve sahip olduğunuzdan emin olmak için akın. Muhtemelen aptalca bir fikir, ama kesinlikle işe yarayacaktı.


2
Aptalca bir fikir değil, güvenlik açısından mantıklı bir fikir. Not: /varSadece /var/wwwve / veya içeriklerinin izinlerini değiştirmenize (ve değiştirmemelisiniz) .
thomasrutter

1

Terminalde bir www oturumu başlatabilirsiniz.

sudo su www-data

Farklı bir renkli bilgi istemi * ile birleştirildiğinde, farklı bir kullanıcının kabuğu olduğunu daha açık hale getirmek ve her zaman ilgili xterm'i (ve editör vb.) Koymak için bir politika - örneğin - sanal masaüstü 4, böylece karışıklığa uğramamak için buna alışırsın.

*) Farklı karaktere sahip farklı renklerde bir bilgi istemi için, / etc / prompt gibi bir dosya oluşturun:

# PROMPTING
#       When  executing  interactively, bash displays the primary prompt PS1 when it is ready to read a command, and the sec-
#       ondary prompt PS2 when it needs more input to complete a command.  Bash allows these prompt strings to be  customized
#       by inserting a number of backslash-escaped special characters that are decoded as follows:
#              \a     an ASCII bell character (07)
#              \d     the date in "Weekday Month Date" format (e.g., "Tue May 26")
#              \D{format}
#                     the  format is passed to strftime(3) and the result is inserted into the prompt string; an empty format
#                     results in a locale-specific time representation.  The braces are required
#              \e     an ASCII escape character (033)
#              \h     the hostname up to the first `.'
#              \H     the hostname
#              \j     the number of jobs currently managed by the shell
#              \l     the basename of the shell's terminal device name
#              \n     newline
#              \r     carriage return
#              \s     the name of the shell, the basename of $0 (the portion following the final slash)
#              \t     the current time in 24-hour HH:MM:SS format
#              \T     the current time in 12-hour HH:MM:SS format
#              \@     the current time in 12-hour am/pm format
#              \A     the current time in 24-hour HH:MM format
#              \u     the username of the current user
#              \v     the version of bash (e.g., 2.00)
#              \V     the release of bash, version + patchelvel (e.g., 2.00.0)
#              \w     the current working directory
#              \W     the basename of the current working directory
#              \!     the history number of this command
#              \#     the command number of this command
#              \$     if the effective UID is 0, a #, otherwise a $
#              \nnn   the character corresponding to the octal number nnn
#              \\     a backslash
#              \[     begin a sequence of non-printing characters, which could be used to embed a terminal  control  sequence
#                     into the prompt
#              \]     end a sequence of non-printing characters
#
#       The  command  number and the history number are usually different: the history number of a command is its position in
#       the history list, which may include commands restored from the history file (see HISTORY below),  while  the  command
#       number  is  the  position in the sequence of commands executed during the current shell session.  After the string is
#
# colors:
# \[...\]   wird benötigt, damit die shell weiß, daß hier kein printable output ist, und die Umbrüche richtig plaziert.
#
# ANSI COLORS
CRE="\[
[K\]"
NORMAL="\[[0;39m\]"
# RED: Failure or error message
RED="\[[1;31m\]"
# GREEN: Success message
GREEN="\[[1;32m\]"
# YELLOW: Descriptions
YELLOW="\[[1;33m\]"
# BLUE: System messages
BLUE="\[[1;34m\]"
# MAGENTA: Found devices or drivers
MAGENTA="\[[1;35m\]"
# CYAN: Questions
CYAN="\[[1;36m\]"
# BOLD WHITE: Hint
WHITE="\[[1;37m\]"
#
# default:
# postgres, oracle, www-data
#
# PS1=$BLUE"machine]->"$NORMAL\\w"$BLUE ø $NORMAL"
PS1=$BLUE"machine]:"$NORMAL\\w"$BLUE > $NORMAL"
#
# root, stefan:
#
case "$UID" in
    '0')
        PS1=$RED"machine:"$NORMAL\\w"$RED # $NORMAL"
    ;;
    '1000')
    PS1=$GREEN"machine:"$BLUE\\w$YELLOW" > "$NORMAL
    ;;
#    default)
#    ;;
esac

ve /etc/bash.bashrcörneğin kaynak .

Ayrıma yardımcı olacak ek bir araç olarak, dosyalarınızı her zaman bir takma adla veya bir sembolik bağlantıyla düzenleyebilirsiniz; bu, kimliğinize bağlı olarak (taylor / www-data) gedit veya mousepad, vim veya pico'ya işaret eder. Veya farklı editör profilleri kullanabilir, en azından gedit'te tercihlerinizi beyaz zemin üzerinde siyah metin veya siyah zemin üzerinde beyaz metin olarak ayarlayabilirsiniz.

Sadece root olarak çalışmak için böyle bir politikam var, bu yüzden www-data ile çalışmanın ne kadar iyi olacağından emin değilim. Ssh-seansları ile kendi istemleri olan farklı ana bilgisayarlara birleştirildiğinde, bazen yanlış olmamı engellemiyordu, ancak gerçekleşirse hızlı, yanlış olanı anlıyorum ve nadiren oluyor.

Not: Bilgi istemi betiği kısmen bash el kitabının bir kopyasıdır.


Bu işe yarar ve (dikkatli bir şekilde kullanılırsa) güvenliği olumsuz yönde etkilemez, ancak en basit çözüm olmayabilir. Yine de bazı insanlar için geçerli bir çözüm.
thomasrutter
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.