Jak uniknąć używania sudo podczas pracy w / var / www?

163

Chcę przestać używać sudo za każdym razem, gdy pracuję w /var/www . Jak mogę to zrobić? Po prostu chcę umieścić wszystkie moje witryny w tym katalogu i pracować z nimi bez zbytniego bólu.

    
zadawane TaylorOtwell 01.06.2011, 05:43
źródło

8 odpowiedzi

230

Większość odpowiedzi tutaj nie jest napisana z myślą o bezpieczeństwie. Dobrze jest mieć wrażenie, że uruchamianie sudo za każdym razem nie jest zbyt mądre. Jeśli popełnisz literówkę (np. ( nie wykonuj ) sudo rm -rf / var/www/dir ), możesz zmarnować swój system.

Uwaga: Począwszy od Apache 2.4.7 / Ubuntu 14.04, /var/www zostało przeniesione do /var/www/html Dostosuj odpowiednio komendy w tej odpowiedzi.

Patrz:

Złe pomysły:

  • chmod 777 (sagarchalise) - dzięki temu każdy, kto ma dostęp do twojego systemu, zapisuje w katalogach i plikach, a tym samym umożliwia intruzowi wykonanie dowolnego kodu w ramach www-data użytkownika
  • chgrp -R www-data $HOME (cob) - pozwala www-data na odczytywanie lub zapisywanie dowolnych plików w katalogu domowym. Nie uwzględnia to zasady Least Privilege
  • chown -R $USER:$USER /var/www (kv1dr) - chyba że świat odczytał uprawnienia na /var/www , serwer sieciowy działający pod www-data nie będzie mógł odczytać (dostarczyć) plików. Jeśli plik jest dostępnym publicznie zwykłym dokumentem HTML, może to nie być problem, jeśli świat może odczytać plik. Ale jeśli plik jest plikiem PHP zawierającym hasła, to jest.

UWAGA : w poniższych rozwiązaniach przyznano uprawnienia do zapisu www-data . Jednak /usr/share/doc/base-passwd/users-and-groups.txt.gz stwierdza:

% bl0ck_qu0te%

Jeśli to możliwe, wykonaj nie uprawnienia do nadawania uprawnień do grupy www-data . www-data musi tylko być w stanie przeczytać pliki, aby serwer mógł go obsłużyć. Jedyny przypadek, w którym www-data wymaga uprawnień do zapisu, dotyczy katalogów przechowujących przesłane pliki i inne lokalizacje, które należy zapisać.

Rozwiązanie 1

Dodaj siebie do grupy www-data i ustaw bit Setgid na katalogu /var/www tak, aby wszystkie nowo utworzone pliki również dziedziczyły tę grupę.

sudo gpasswd -a "$USER" www-data

Popraw wcześniej utworzone pliki (zakładając, że jesteś jedynym użytkownikiem /var/www ):

sudo chown -R "$USER":www-data /var/www
find /var/www -type f -exec chmod 0660 {} \;
sudo find /var/www -type d -exec chmod 2770 {} \;

(nawet bezpieczniej: użyj 640 lub 2750 i ręcznie chmod g+w file-or-dir , który musi być zapisywalny przez serwer WWW)

Rozwiązanie 2

Utwórz dowiązanie symboliczne dla każdego projektu w swoim katalogu domowym. Załóżmy, że Twój projekt znajduje się w ~/projects/foo i chcesz go zlokalizować w /var/www/foo , uruchom:

sudo ln -sT ~/projects/foo /var/www/foo

Jeśli twój katalog domowy nie ma ustawionego bitu wykonania (malejąco) dla other (ze względów bezpieczeństwa), zmień jego grupę na www-data , ale ustaw tylko bit wykonania (nie odczyt / zapis). Zrób to samo dla folderu ~/projects , ponieważ może zawierać inne projekty niż www. (Nie potrzebujesz sudo , jeśli wcześniej dodałeś swojego użytkownika do grupy www-data .)

sudo chgrp www-data ~ ~/projects
chmod 710 ~ ~/projects

Ustaw grupę na www-data na ~/projects/foo i pozwól serwerowi WWW na odczyt i zapis do plików i plików + katalogów i zejście do katalogów:

sudo chgrp www-data ~/projects/foo
find ~/projects/foo -type f -exec chmod 660 {} \;
find ~/projects/foo -type d -exec chmod 2770 {} \;

Jeszcze bezpieczniejsze: domyślnie użyj 640 i 2750, a ręcznie chroń pliki i katalogi, które muszą być zapisywalne przez użytkownika serwera sieciowego. Bit setgid należy dodać tylko wtedy, gdy chcesz, aby każdy nowo utworzony plik w ~/projects/foo był dostępny dla grupy.

Od tej pory możesz uzyskać dostęp do swojej witryny w http://localhost/foo i edytować pliki projektu w ~/projects/foo .

Zobacz także

odpowiedział Lekensteyn 01.06.2011, 11:48
źródło
9

Zamiast przechowywać moje witryny w / var / www, umieszczam tam odnośniki do stron znajdujących się w moim katalogu domowym. Mogę dowolnie edytować lub dodawać strony do moich stron. Kiedy jestem zadowolony ze zmian, a następnie FTP do firmy hostingowej, gdzie moja nazwa domeny łączy.

    
odpowiedział fragos 01.06.2011, 09:06
źródło
6

Jeśli utworzysz / var / www do zapisu przez grupę i dodasz się do grupy, nie będziesz musiał używać sudo, a jednocześnie będzie dość bezpieczny. Spróbuj tego:

sudo adduser <username> www-data
sudo chown -R www-data:www-data /var/www
sudo chmod -R g+rw /var/www

Powinieneś móc edytować pliki /var/www/ bez kłopotu.

Pierwsza linia dodaje cię do grupy www-data , druga linia usuwa wszystkie pliki z pomieszanym prawem własności, a trzecia powoduje, że wszyscy użytkownicy należący do grupy www-data mogą czytać i pisać wszystkie pliki w /var/www .

    
odpowiedział Azendale 01.07.2011, 02:41
źródło
5

Nie zezwalaj

  • Nie ustawiaj uprawnień do plików 777 (zapisywalnych na całym świecie)

    Jest to istotna luka w zabezpieczeniach, szczególnie jeśli włączysz skrypty po stronie serwera, takie jak PHP. Nieuprzywilejowane procesy nie powinny mieć możliwości zapisu na pliki, które mogłyby wpłynąć na witrynę lub, w przypadku wykorzystywanych skryptów po stronie serwera, wykonywać dowolny kod.

  • Nie dodawaj siebie jako członka grupy www-data i daj jej uprawnienia do zapisu

    Celem tej grupy jest to, że jest to grupa nieuprzywilejowana , na której serwer przetwarza jako. Powinni mieć dostęp do plików witryny tylko w miarę możliwości z tych samych powodów jak powyżej.

  • Nie zmieniaj uprawnień procesów Apache

    Procesy podrzędne Apache działają domyślnie jako użytkownik i grupa www-data i nie należy tego zmieniać. Jest to tylko sposób na przyznanie im uprawnień do zapisu w systemie plików.

    W pewnych okolicznościach chcesz, aby twoje skrypty po stronie serwera mogły zapisywać do plików, w takim przypadku tylko pliki te powinny być zapisywane przez www-data i należy zachować ostrożność, aby zapewnić bezpieczeństwo.

Dos

  • Ustaw pliki, które mają być własnością użytkownika

    Jeśli jesteś jedynym lub zwykłym, modyfikujesz pewne pliki na stronie, to ma sens tylko przejęcie na własność tych plików. Ustaw ich właściciela na <your username> .

    Nie musisz modyfikować uprawnień serwera do tego, ponieważ serwer będzie nadal uzyskiwał dostęp tylko do odczytu, nawet jeśli pliki są własnością ciebie.

  • Wybierz sensowne miejsce przechowywania plików (przy użyciu DocumentRoot )

    Jeśli /var/www nie ma sensu, możesz umieścić je gdzie indziej. Jeśli są one specyficzne dla twojego własnego rozwoju lub testowania, możesz umieścić je w swoim katalogu domowym. Lub możesz ustawić kilka katalogów w /srv .

  • Jeśli chcesz nadać grupie grupę prawa do zapisu, utwórz w tym celu nową grupę

    Nie używaj ponownie grupy systemowej, ponieważ są one zazwyczaj tak zaprojektowane, aby mieć dostęp, jaki mają obecnie, i nie więcej, ze względów bezpieczeństwa.

odpowiedział thomasrutter 24.11.2016, 00:43
źródło
5

To takie proste. Nie musisz włączać apache 'UserDir' (niezalecane) ani nie zmyślać z grupami "www-danych" (w przypadku grupy w Fedorze)

Po prostu utwórz katalog projektu w /var/www/html

cd /var/www/html
sudo mkdir my_project

Po prostu chown katalogu projektu do swojego użytkownika.

sudo chown your_username my_project

Teraz możesz rozpocząć pracę nad folderem projektu jako zwykły użytkownik z dowolnym edytorem, dowolnym IDE. Nigdy więcej sudos :)

    
odpowiedział Gayan Weerakutti 06.08.2016, 09:49
źródło
1

chmod in / var na www, aby umożliwić właścicielowi dostęp, i chown, aby upewnić się, że jesteś jego właścicielem. Prawdopodobnie głupi pomysł, ale na pewno zadziała.

    
odpowiedział Daniel 01.06.2011, 05:59
źródło
1

Możesz rozpocząć sesję www w terminalu przez

sudo su www-data

W połączeniu z monitorem o innym kolorze *, aby było bardziej oczywiste, że jest to powłoka innego użytkownika, a polityka zawsze powinna zawierać odpowiednie xterm (i edytor i inne) - na przykład - pulpit wirtualny 4 , aby się do tego przyzwyczaić, aby uniknąć nieporozumień.

*) Aby uzyskać kolorowy znak zachęty z innym znakiem, utwórz plik / etc / prompt w następujący sposób:

# PROMPTING
#       When  executing  interactively, bash displays the primary prompt PS1 when it is ready to read a command, and the sec-
#       ondary prompt PS2 when it needs more input to complete a command.  Bash allows these prompt strings to be  customized
#       by inserting a number of backslash-escaped special characters that are decoded as follows:
#              \a     an ASCII bell character (07)
#              \d     the date in "Weekday Month Date" format (e.g., "Tue May 26")
#              \D{format}
#                     the  format is passed to strftime(3) and the result is inserted into the prompt string; an empty format
#                     results in a locale-specific time representation.  The braces are required
#              \e     an ASCII escape character (033)
#              \h     the hostname up to the first '.'
#              \H     the hostname
#              \j     the number of jobs currently managed by the shell
#              \l     the basename of the shell's terminal device name
#              \n     newline
#              \r     carriage return
#              \s     the name of the shell, the basename of $0 (the portion following the final slash)
#              \t     the current time in 24-hour HH:MM:SS format
#              \T     the current time in 12-hour HH:MM:SS format
#              \@     the current time in 12-hour am/pm format
#              \A     the current time in 24-hour HH:MM format
#              \u     the username of the current user
#              \v     the version of bash (e.g., 2.00)
#              \V     the release of bash, version + patchelvel (e.g., 2.00.0)
#              \w     the current working directory
#              \W     the basename of the current working directory
#              \!     the history number of this command
#              \#     the command number of this command
#              \$     if the effective UID is 0, a #, otherwise a $
#              \nnn   the character corresponding to the octal number nnn
#              \     a backslash
#              \[     begin a sequence of non-printing characters, which could be used to embed a terminal  control  sequence
#                     into the prompt
#              \]     end a sequence of non-printing characters
#
#       The  command  number and the history number are usually different: the history number of a command is its position in
#       the history list, which may include commands restored from the history file (see HISTORY below),  while  the  command
#       number  is  the  position in the sequence of commands executed during the current shell session.  After the string is
#
# colors:
# \[...\]   wird benötigt, damit die shell weiß, daß hier kein printable output ist, und die Umbrüche richtig plaziert.
#
# ANSI COLORS
CRE="\[
[K\]"
NORMAL="\[[0;39m\]"
# RED: Failure or error message
RED="\[[1;31m\]"
# GREEN: Success message
GREEN="\[[1;32m\]"
# YELLOW: Descriptions
YELLOW="\[[1;33m\]"
# BLUE: System messages
BLUE="\[[1;34m\]"
# MAGENTA: Found devices or drivers
MAGENTA="\[[1;35m\]"
# CYAN: Questions
CYAN="\[[1;36m\]"
# BOLD WHITE: Hint
WHITE="\[[1;37m\]"
#
# default:
# postgres, oracle, www-data
#
# PS1=$BLUE"machine]->"$NORMAL\w"$BLUE ø $NORMAL"
PS1=$BLUE"machine]:"$NORMAL\w"$BLUE > $NORMAL"
#
# root, stefan:
#
case "$UID" in
    '0')
        PS1=$RED"machine:"$NORMAL\w"$RED # $NORMAL"
    ;;
    '1000')
    PS1=$GREEN"machine:"$BLUE\w$YELLOW" > "$NORMAL
    ;;
#    default)
#    ;;
esac

i źródło z /etc/bash.bashrc na przykład.

Jako dodatkowe narzędzie pomocne w rozróżnianiu, zawsze możesz edytować swoje pliki za pomocą aliasu "edytuj" lub dowiązania symbolicznego, które wskazują, w zależności od Twojej tożsamości (dane taylor / www), do gedit lub mousepad, vim lub pico. Lub możesz użyć różnych profili edytora, przynajmniej w gedit możesz ustawić swoje preferencje do czarnego tekstu na białym tle lub białego tekstu na czarnej ziemi na przykład.

Mam tylko takie zasady, że pracuję jako root, więc nie jestem pewien, jak dobrze będzie pasował do pracy z danymi www. W połączeniu z sesjami ssh do różnych hostów, które mają własne podpowiedzi, nie przeszkodziło mi to, że czasami mylę się, ale jeśli tak się stanie, szybko zdaję sobie sprawę, co jest nie tak, a dzieje się to rzadko.

note: Skrypt prompt jest częściowo kopią strony podręcznej basha.

    
odpowiedział user unknown 01.06.2011, 17:49
źródło
-1

Na tej stronie mojej witryny omówię polecenia zmiany uprawnień w /var/www między apache i pi użytkownik, ale jest niezbędny

sudo chown -R pi /var/www

to restart Apache

sudo service apache2 restart
    
odpowiedział Nathan Dickson 24.11.2016, 00:27
źródło

Przeczytaj inne pytania na temat tagów