Есть ли причина, по которой файлы в www-root apache должны принадлежать пользователю root в песочнице?

Question

Я устраняю проблему с правами доступа, которая может быть решена, если все файлы в корневой папке Apache принадлежат пользователю , а не"root".Так как это песочница, а я играю в нее только один, никакого конфликта между людьми нет.Смогу ли я что-нибудь молча сломать, если внесу это изменение?

Я никогда не сомневался в том, что файлы за пределами / home принадлежат любому другому пользователю, кроме учетной записи корневого пользователя системы.В большинстве случаев изменение разрешений действительно ломает вещи, но мысль.OHHH.Как непослушно.hahahah.

Answer 1

Боюсь, немного поздно, но я только что нашел это. Здесь много путаницы / дезинформации в комментариях. Вы можете делать все, что хотите, в рамках этих основных принципов. Я предполагаю, что пользователь и группа httpd (см. Директивы User и Group в httpd.conf) - это apache и apache; замените вашу собственную установку.

1 - обслуживаемые файлы должны быть доступны для чтения пользователю 'apache'

2 - каталоги должны быть доступны для поиска пользователем 'apache'

3 - программы CGI должны запускаться пользователем 'apache'

4 - пользователь 'apache' не должен иметь никаких файлов

5 - пользователю 'apache' не должно быть разрешено писать любые файлы

6 - группе 'apache' не должно быть разрешено владеть или записывать любые файлы

Ваша установка - где root владеет файлами - приемлема, но в большинстве установок имеет больше смысла, что тот, кто должен модифицировать файлы (через ftp / etc), должен либо (а) владеть ими, либо (б) находиться в группа, которая имеет права на запись для файлов.

Придумайте схему, которая соответствует всем этим критериям, и вы должны быть в порядке. Очевидно, что не позволяйте «другим» иметь разрешения, которые не нужны. Однако для пользователя «apache» нормально находиться в «других», поэтому для файлов обычно требуются разрешения на чтение для других. Разместите ваше конкретное решение здесь, если хотите, чтобы оно было проверено.

Answer 2

Нет проблем.Вы можете изменить владельца на свое имя пользователя, если для имени группы установлено то, что Apache использует в качестве имени группы.Зачем?потому что через неделю я все равно это сделал.Итак, пока ничего не сломалось.

Я задал вопрос, прежде чем вносить изменения, потому что на своем тестовом сервере я использую приложение-средуОн установлен под другим владельцем, как я уже упоминал выше.И практически невозможно вернуть большую папку с файлами (а эта структура содержит более 3000 файлов) обратно к исходным разрешениям после изменения.

Answer 3

Apache не будет работать от имени пользователя root.Таким образом, сервер Apache не имеет прав на запись в файлы, принадлежащие пользователю root.Если вам нужен доступ на запись для apache или ваших PHP-скриптов, вам не следует хранить веб-контент как root.

Возможно, вам не нужен доступ на запись для apache-скриптов, поскольку это может представлять угрозу безопасности.Этот риск можно уменьшить, используя root или любой другой пользователь, который обычно редактирует эти файлы.

Имена пользователей для экземпляра Apache обычно имеют вид www-run www-data или apache.