Как избежать использования sudo при работе в / var / www?
173
Я хочу перестать использовать sudoкаждый раз, когда я работаю /var/www. Как я могу это сделать? Я просто хочу поместить все свои сайты в этот каталог и работать с ними без особой боли.
Еще один способ обеспечить безопасность - это продолжать использовать, sudo -u www-dataно ограничить себя в sudoersфайле, чтобы иметь возможность только sudo www-data(а не root sudo). См. Serverfault.com/questions/295429/…
Саймон Вудсайд
Ответы:
250
Большинство ответов здесь написаны не с точки зрения безопасности. Приятно чувствовать, что бегать sudoкаждый раз не очень мудро. Если вы сделаете опечатку (например, один пробел в неправильном месте: sudo rm -rf / var/www/dirне выполняйте! ), Вы можете испортить вашу систему.
Примечание: Начиная с Apache 2.4.7 / Ubuntu 14.04, /var/wwwбыл перенесен для соответствующей /var/www/htmlнастройки команд в этом ответе.
chmod 777(sagarchalise) - это позволяет любому, имеющему доступ к вашей системе, записывать в каталоги и файлы и, таким образом, злоумышленнику выполнять любой код под www-dataпользователем
chgrp -R www-data $HOME(cob) - это позволяет www-dataчитать или записывать любые файлы в домашнем каталоге. Это не имеет в виду правило наименьших привилегий
chown -R $USER:$USER /var/www(kv1dr) - если мир не имеет разрешений на чтение /var/www, веб-сервер, на котором он работает www-data, не сможет читать (обслуживать) файлы. Если файл является общедоступным простым HTML-документом, это может быть проблемой, если мир сможет прочитать файл. Но если файл представляет собой файл PHP, содержащий пароли, это так.
ПРИМЕЧАНИЕ . В приведенных ниже решениях я предоставил www-dataправа на запись. Однако /usr/share/doc/base-passwd/users-and-groups.txt.gzговорится:
WWW-данные
Некоторые веб-серверы работают как www-данные. Веб-контент не должен принадлежать этому пользователю, иначе скомпрометированный веб-сервер сможет переписать веб-сайт. Данные, записанные веб-серверами, будут принадлежать www-данным.
Где это возможно, не предоставляйте права на запись www-dataгруппе. www-dataнужно только уметь читать файлы, чтобы веб-сервер мог их обслуживать. Единственный случай, когда www-dataтребуются разрешения на запись, - это каталоги, в которых хранятся загружаемые файлы, и другие места, которые необходимо записать.
Решение 1
Добавьте себя в www-dataгруппу и установите в каталоге бит setgid /var/www, чтобы все вновь созданные файлы наследовали и эту группу.
sudo gpasswd -a "$USER" www-data
Исправьте ранее созданные файлы (если вы являетесь единственным пользователем /var/www):
(еще безопаснее: используйте 640или 2750и вручную, chmod g+w file-or-dirкоторый должен быть доступен для записи веб-сервером)
Решение 2
Создайте символическую ссылку для каждого проекта в вашем домашнем каталоге. Скажем, ваш проект находится по адресу, ~/projects/fooи вы хотите, чтобы он находился по адресу /var/www/foo, запустите:
sudo ln -sT ~/projects/foo /var/www/foo
Если в вашем домашнем каталоге не установлен бит выполнения (нисходящий) для other(по соображениям безопасности), измените его группу на www-data, но установите только бит выполнения (без чтения / записи). Сделайте то же самое для ~/projectsпапки, так как она может содержать другие проекты, кроме www. (Вам не нужно, sudoесли вы ранее добавили своего пользователя в www-dataгруппу.)
Еще безопаснее: используйте 640 и 2750 по умолчанию и вручную chmod файлы и каталоги, которые должны быть доступны для записи пользователю веб-сервера. Бит setgid следует добавлять, только если вы хотите, чтобы каждый вновь созданный файл ~/projects/fooбыл доступен группе.
Отныне вы можете получить доступ к своему сайту http://localhost/fooи редактировать файлы проекта в ~/projects/foo.
Что вы думаете о www-сессии в терминале sudo su www-data? В сочетании с другим цветом подсказки, чтобы сделать более очевидным, что это оболочка другого пользователя, и политики всегда помещать соответствующий xterm, например, в виртуальный рабочий стол 4, чтобы вы к нему привыкли, Во избежание путаницы?
пользователь неизвестен
@ пользователь неизвестен: если вы все делаете в терминале, то хорошо, поскольку у вас есть четкое разделение между учетными записями пользователей. Но это не сработает, если вы используете программу с графическим интерфейсом, как gedit. Я никогда не исследовал, безопасно ли запускать программу с графическим интерфейсом под другим пользователем в текущем сеансе, это был бы интересный вопрос.
Лекенштейн
1
@imaginaryRobots: если бы я собирался публиковать разные решения для каждого вопроса, Askubuntu был бы полон ответов в три строки. Я оставлю это как есть, пока ты не убедишь меня разделить это.
Лекенштейн
1
@berbt setfacl -d u::rwX,g::rX /var/wwwимеет забавный эффект: режим по умолчанию становится 0750 (или 0640), даже если значение umask равно нулю. Это может быть хорошей идеей, если вы хотите избежать файлов, доступных для записи в мире, но если /var/wwwмир уже недоступен, он не нужен.
Лекенштейн
1
Есть ли проблема с инвертированием процесса в решении 1? Под этим я имею в виду /var/www/app01владение app01:app01, а затем www-dataпользователь добавляется в app01группу ? Или это что-то сломает?
Jack_Hu
9
Вместо того, чтобы хранить свои веб-сайты в / var / www, я размещаю там ссылки на сайты, которые находятся в моей домашней папке. Я могу свободно редактировать или добавлять страницы на мои сайты. Когда я доволен изменениями, я перехожу по FTP к хостинговой компании, где ссылки на мои доменные имена.
Если вы сделаете / var / www доступным для записи по его группе и добавите себя в группу, вам не придется использовать sudo, оставаясь при этом достаточно безопасным. Попробуй это:
После этого вы сможете редактировать /var/www/файлы без хлопот.
Первая строка добавляет вас в www-dataгруппу, вторая строка очищает любые файлы с ошибочным владельцем, а третья делает так, чтобы все пользователи, которые являются членами www-dataгруппы, могли читать и записывать все файлы в /var/www.
Это очень плохая идея для безопасности, и этому совету не следует следовать по причинам, объясненным в других ответах. www-данные должны быть непривилегированной группой без прав на запись.
Томасруттер
5
Этикет
Не устанавливайте права доступа к файлам 777 (доступно для записи)
Это существенный недостаток безопасности, особенно если вы включаете серверные сценарии, такие как PHP. Непривилегированные процессы не должны иметь возможность записи в файлы, которые могут повлиять на веб-сайт или, в случае использования сценариев на стороне сервера, выполнить произвольный код.
Не добавляйте себя в качестве члена группы www-data и не предоставляйте ей права на запись
Назначение этой группы состоит в том, что это непривилегированная группа, под которой работают серверные процессы . Они должны иметь доступ только для чтения к файлам сайта, если это возможно, по тем же причинам, что и выше.
Не меняйте разрешения процессов Apache
Дочерние процессы Apache www-dataпо умолчанию работают как пользователь и группа, и это не должно быть изменено. Это просто способ не дать им разрешения на запись в файловую систему.
В определенных обстоятельствах вы хотите, чтобы ваши серверные сценарии могли записывать в файлы, и в этом случае только эти файлы должны быть доступны для записи, www-dataи необходимо обеспечить безопасность.
ДОС
Установите файлы, которые будут принадлежать вам
Если вы являетесь единственным или обычным пользователем, который изменяет определенные файлы на веб-сайте, то имеет смысл просто взять на себя ответственность за эти файлы. Установите их владельца <your username>.
Для этого вам не нужно изменять разрешения сервера, поскольку сервер будет продолжать получать доступ только для чтения, даже если файлы принадлежат вам.
Выберите разумное место для размещения файлов (используя DocumentRoot )
Если /var/wwwне имеет смысла, вы можете разместить их в другом месте. Если они относятся к вашей собственной разработке или тестированию, вы можете поместить их в свой домашний каталог. Или вы можете создать несколько каталогов в /srv.
Если вы хотите дать группе право на запись, создайте новую группу для этой цели.
Не используйте системную группу повторно, потому что они обычно предназначены для того, чтобы иметь доступ, который они имеют в настоящее время, и не более, по соображениям безопасности.
+1 Вот что я делаю: меняю владельца не на /var/wwwсебя, а на подкаталоги.
fkraiem
2
chmod в / var на www, чтобы разрешить владельцу доступ, и chown, чтобы убедиться, что он принадлежит вам. Возможно, глупая идея, но она определенно сработает.
Не глупая идея, это разумная идея с точки зрения безопасности. Примечание. Вам не нужно (и не следует) изменять права доступа /var, просто /var/wwwи / или его содержимое.
Томасруттер
1
Вы можете начать www-сессию в терминале
sudo su www-data
В сочетании с разноцветным приглашением *, чтобы сделать более очевидным, что это оболочка другого пользователя и политика, всегда помещающая соответствующий xterm (и редактор и т. Д.), Например, в виртуальный рабочий стол 4, чтобы Вы привыкаете к этому, чтобы избежать путаницы.
*) Для приглашения с другим цветом с другим символом создайте файл / etc / prompt, например:
# PROMPTING
# When executing interactively, bash displays the primary prompt PS1 when it is ready to read a command, and the sec-
# ondary prompt PS2 when it needs more input to complete a command. Bash allows these prompt strings to be customized
# by inserting a number of backslash-escaped special characters that are decoded as follows:
# \a an ASCII bell character (07)
# \d the date in "Weekday Month Date" format (e.g., "Tue May 26")
# \D{format}
# the format is passed to strftime(3) and the result is inserted into the prompt string; an empty format
# results in a locale-specific time representation. The braces are required
# \e an ASCII escape character (033)
# \h the hostname up to the first `.'
# \H the hostname
# \j the number of jobs currently managed by the shell
# \l the basename of the shell's terminal device name
# \n newline
# \r carriage return
# \s the name of the shell, the basename of $0 (the portion following the final slash)
# \t the current time in 24-hour HH:MM:SS format
# \T the current time in 12-hour HH:MM:SS format
# \@ the current time in 12-hour am/pm format
# \A the current time in 24-hour HH:MM format
# \u the username of the current user
# \v the version of bash (e.g., 2.00)
# \V the release of bash, version + patchelvel (e.g., 2.00.0)
# \w the current working directory
# \W the basename of the current working directory
# \! the history number of this command
# \# the command number of this command
# \$ if the effective UID is 0, a #, otherwise a $
# \nnn the character corresponding to the octal number nnn
# \\ a backslash
# \[ begin a sequence of non-printing characters, which could be used to embed a terminal control sequence
# into the prompt
# \] end a sequence of non-printing characters
#
# The command number and the history number are usually different: the history number of a command is its position in
# the history list, which may include commands restored from the history file (see HISTORY below), while the command
# number is the position in the sequence of commands executed during the current shell session. After the string is
#
# colors:
# \[...\] wird benötigt, damit die shell weiß, daß hier kein printable output ist, und die Umbrüche richtig plaziert.
#
# ANSI COLORS
CRE="\[
[K\]"
NORMAL="\[[0;39m\]"
# RED: Failure or error message
RED="\[[1;31m\]"
# GREEN: Success message
GREEN="\[[1;32m\]"
# YELLOW: Descriptions
YELLOW="\[[1;33m\]"
# BLUE: System messages
BLUE="\[[1;34m\]"
# MAGENTA: Found devices or drivers
MAGENTA="\[[1;35m\]"
# CYAN: Questions
CYAN="\[[1;36m\]"
# BOLD WHITE: Hint
WHITE="\[[1;37m\]"
#
# default:
# postgres, oracle, www-data
#
# PS1=$BLUE"machine]->"$NORMAL\\w"$BLUE ø $NORMAL"
PS1=$BLUE"machine]:"$NORMAL\\w"$BLUE > $NORMAL"
#
# root, stefan:
#
case "$UID" in
'0')
PS1=$RED"machine:"$NORMAL\\w"$RED # $NORMAL"
;;
'1000')
PS1=$GREEN"machine:"$BLUE\\w$YELLOW" > "$NORMAL
;;
# default)
# ;;
esac
и источник его, /etc/bash.bashrcнапример.
В качестве дополнительного инструмента, помогающего различать, вы всегда можете редактировать свои файлы с помощью псевдонима 'edit' или символической ссылки, которая указывает, в зависимости от вашей личности (taylor / www-data), либо на gedit, либо на коврик для мыши, vim или pico. Или вы можете использовать разные профили редактора, по крайней мере, в gedit вы можете установить свои предпочтения, например, черный текст на белом фоне или белый текст на черном фоне.
У меня есть только такая политика для работы с правами root, поэтому я не уверен, насколько она подойдет для работы с www-данными. В сочетании с ssh-сессиями для разных хостов, которые имеют свои собственные подсказки, это не помешало мне иногда ошибаться, но если это происходит, я быстро понимаю, что не так, и это случается редко.
примечание: подсказка-скрипт частично является копией man-страницы bash.
Это будет работать, и не будет (если использовать осторожно) негативно повлиять на безопасность, но, возможно, не будет самым простым решением. Это верное решение для некоторых людей.
sudo -u www-data
но ограничить себя вsudoers
файле, чтобы иметь возможность толькоsudo www-data
(а не root sudo). См. Serverfault.com/questions/295429/…Ответы:
Большинство ответов здесь написаны не с точки зрения безопасности. Приятно чувствовать, что бегать
sudo
каждый раз не очень мудро. Если вы сделаете опечатку (например, один пробел в неправильном месте:sudo rm -rf / var/www/dir
не выполняйте! ), Вы можете испортить вашу систему.Примечание: Начиная с Apache 2.4.7 / Ubuntu 14.04,
/var/www
был перенесен для соответствующей/var/www/html
настройки команд в этом ответе.Видеть:
Где разместить мой локальный сайт, начиная с версии 2.4.7 apache2?
Почему веб-каталог apache2 www был перемещен в / var / www / html?
Изменение стандартного корня документа для HTTP-сервера
Плохие идеи:
chmod 777
(sagarchalise) - это позволяет любому, имеющему доступ к вашей системе, записывать в каталоги и файлы и, таким образом, злоумышленнику выполнять любой код подwww-data
пользователемchgrp -R www-data $HOME
(cob) - это позволяетwww-data
читать или записывать любые файлы в домашнем каталоге. Это не имеет в виду правило наименьших привилегийchown -R $USER:$USER /var/www
(kv1dr) - если мир не имеет разрешений на чтение/var/www
, веб-сервер, на котором он работаетwww-data
, не сможет читать (обслуживать) файлы. Если файл является общедоступным простым HTML-документом, это может быть проблемой, если мир сможет прочитать файл. Но если файл представляет собой файл PHP, содержащий пароли, это так.ПРИМЕЧАНИЕ . В приведенных ниже решениях я предоставил
www-data
права на запись. Однако/usr/share/doc/base-passwd/users-and-groups.txt.gz
говорится:Где это возможно, не предоставляйте права на запись
www-data
группе.www-data
нужно только уметь читать файлы, чтобы веб-сервер мог их обслуживать. Единственный случай, когдаwww-data
требуются разрешения на запись, - это каталоги, в которых хранятся загружаемые файлы, и другие места, которые необходимо записать.Решение 1
Добавьте себя в
www-data
группу и установите в каталоге бит setgid/var/www
, чтобы все вновь созданные файлы наследовали и эту группу.Исправьте ранее созданные файлы (если вы являетесь единственным пользователем
/var/www
):(еще безопаснее: используйте
640
или2750
и вручную,chmod g+w file-or-dir
который должен быть доступен для записи веб-сервером)Решение 2
Создайте символическую ссылку для каждого проекта в вашем домашнем каталоге. Скажем, ваш проект находится по адресу,
~/projects/foo
и вы хотите, чтобы он находился по адресу/var/www/foo
, запустите:Если в вашем домашнем каталоге не установлен бит выполнения (нисходящий) для
other
(по соображениям безопасности), измените его группу наwww-data
, но установите только бит выполнения (без чтения / записи). Сделайте то же самое для~/projects
папки, так как она может содержать другие проекты, кроме www. (Вам не нужно,sudo
если вы ранее добавили своего пользователя вwww-data
группу.)Установите группу
www-data
на~/projects/foo
и позволяют веб - серверу для чтения и записи для файлов и файлов + каталогов и спускается в каталоги:Еще безопаснее: используйте 640 и 2750 по умолчанию и вручную chmod файлы и каталоги, которые должны быть доступны для записи пользователю веб-сервера. Бит setgid следует добавлять, только если вы хотите, чтобы каждый вновь созданный файл
~/projects/foo
был доступен группе.Отныне вы можете получить доступ к своему сайту
http://localhost/foo
и редактировать файлы проекта в~/projects/foo
.Смотрите также
источник
sudo su www-data
? В сочетании с другим цветом подсказки, чтобы сделать более очевидным, что это оболочка другого пользователя, и политики всегда помещать соответствующий xterm, например, в виртуальный рабочий стол 4, чтобы вы к нему привыкли, Во избежание путаницы?gedit
. Я никогда не исследовал, безопасно ли запускать программу с графическим интерфейсом под другим пользователем в текущем сеансе, это был бы интересный вопрос.setfacl -d u::rwX,g::rX /var/www
имеет забавный эффект: режим по умолчанию становится 0750 (или 0640), даже если значение umask равно нулю. Это может быть хорошей идеей, если вы хотите избежать файлов, доступных для записи в мире, но если/var/www
мир уже недоступен, он не нужен./var/www/app01
владениеapp01:app01
, а затемwww-data
пользователь добавляется вapp01
группу ? Или это что-то сломает?Вместо того, чтобы хранить свои веб-сайты в / var / www, я размещаю там ссылки на сайты, которые находятся в моей домашней папке. Я могу свободно редактировать или добавлять страницы на мои сайты. Когда я доволен изменениями, я перехожу по FTP к хостинговой компании, где ссылки на мои доменные имена.
источник
Если вы сделаете / var / www доступным для записи по его группе и добавите себя в группу, вам не придется использовать sudo, оставаясь при этом достаточно безопасным. Попробуй это:
После этого вы сможете редактировать
/var/www/
файлы без хлопот.Первая строка добавляет вас в
www-data
группу, вторая строка очищает любые файлы с ошибочным владельцем, а третья делает так, чтобы все пользователи, которые являются членамиwww-data
группы, могли читать и записывать все файлы в/var/www
.источник
Этикет
Не устанавливайте права доступа к файлам 777 (доступно для записи)
Это существенный недостаток безопасности, особенно если вы включаете серверные сценарии, такие как PHP. Непривилегированные процессы не должны иметь возможность записи в файлы, которые могут повлиять на веб-сайт или, в случае использования сценариев на стороне сервера, выполнить произвольный код.
Не добавляйте себя в качестве члена группы www-data и не предоставляйте ей права на запись
Назначение этой группы состоит в том, что это непривилегированная группа, под которой работают серверные процессы . Они должны иметь доступ только для чтения к файлам сайта, если это возможно, по тем же причинам, что и выше.
Не меняйте разрешения процессов Apache
Дочерние процессы Apache
www-data
по умолчанию работают как пользователь и группа, и это не должно быть изменено. Это просто способ не дать им разрешения на запись в файловую систему.В определенных обстоятельствах вы хотите, чтобы ваши серверные сценарии могли записывать в файлы, и в этом случае только эти файлы должны быть доступны для записи,
www-data
и необходимо обеспечить безопасность.ДОС
Установите файлы, которые будут принадлежать вам
Если вы являетесь единственным или обычным пользователем, который изменяет определенные файлы на веб-сайте, то имеет смысл просто взять на себя ответственность за эти файлы. Установите их владельца
<your username>
.Для этого вам не нужно изменять разрешения сервера, поскольку сервер будет продолжать получать доступ только для чтения, даже если файлы принадлежат вам.
Выберите разумное место для размещения файлов (используя DocumentRoot )
Если
/var/www
не имеет смысла, вы можете разместить их в другом месте. Если они относятся к вашей собственной разработке или тестированию, вы можете поместить их в свой домашний каталог. Или вы можете создать несколько каталогов в/srv
.Если вы хотите дать группе право на запись, создайте новую группу для этой цели.
Не используйте системную группу повторно, потому что они обычно предназначены для того, чтобы иметь доступ, который они имеют в настоящее время, и не более, по соображениям безопасности.
источник
Это так просто. Вам не нужно ни включать apache 'UserDir' (не рекомендуется), ни связываться с группами 'www-data' (группа apache в случае с Fedora)
Просто создайте каталог вашего проекта внутри
/var/www/html
Затем просто выберите каталог проекта для вашего пользователя.
Теперь вы можете начать работу над папкой проекта как обычный пользователь с любым редактором, IDE по вашему выбору. Нет больше sudos :)
источник
/var/www
себя, а на подкаталоги.chmod в / var на www, чтобы разрешить владельцу доступ, и chown, чтобы убедиться, что он принадлежит вам. Возможно, глупая идея, но она определенно сработает.
источник
/var
, просто/var/www
и / или его содержимое.Вы можете начать www-сессию в терминале
В сочетании с разноцветным приглашением *, чтобы сделать более очевидным, что это оболочка другого пользователя и политика, всегда помещающая соответствующий xterm (и редактор и т. Д.), Например, в виртуальный рабочий стол 4, чтобы Вы привыкаете к этому, чтобы избежать путаницы.
*) Для приглашения с другим цветом с другим символом создайте файл / etc / prompt, например:
и источник его,
/etc/bash.bashrc
например.В качестве дополнительного инструмента, помогающего различать, вы всегда можете редактировать свои файлы с помощью псевдонима 'edit' или символической ссылки, которая указывает, в зависимости от вашей личности (taylor / www-data), либо на gedit, либо на коврик для мыши, vim или pico. Или вы можете использовать разные профили редактора, по крайней мере, в gedit вы можете установить свои предпочтения, например, черный текст на белом фоне или белый текст на черном фоне.
У меня есть только такая политика для работы с правами root, поэтому я не уверен, насколько она подойдет для работы с www-данными. В сочетании с ssh-сессиями для разных хостов, которые имеют свои собственные подсказки, это не помешало мне иногда ошибаться, но если это происходит, я быстро понимаю, что не так, и это случается редко.
примечание: подсказка-скрипт частично является копией man-страницы bash.
источник