私は基本的に小さなデータプロジェクトとファイルをホストするためだけに小さなウェブサーバーを実行しています。このサーバーにはパブリックIPアドレスがあります。
FTPでファイルを/var/www/*に直接アップロードできるようにしたいと思います 、したがって、www-dataを許可することを検討しています ユーザーはパスワードを持って直接ログインします。これにより、Webディレクトリで何かを行うたびにファイルの所有権を変更する必要がなくなります(現在rootとして実行しているため、セキュリティ上のリスクもあります)。
www-dataユーザーにログインを許可することにセキュリティ上のリスクはありますか?もしそうなら、最良の選択肢は何ですか?
承認された回答:
セキュリティ上のリスクの1つは、Webサーバー自体を強制終了したり、他の方法で対処したりする可能性があることです(同じユーザーを使用しているため)。これはおそらくあなたが望むものではありません。ルートを使用する場合も同じでしょう。
2つの解決策:
-
/var/wwwの下にサブディレクトリを作成します あなた自身のために、それをあなた自身にchownしてからあなた自身のユーザーを使ってください。 (または新しいものを作成します)例:
[email protected]# mkdir /var/www/joes-toys [email protected]# chown joeuser:joegroup /var/www/toys [email protected]# chmod u=rwx,g=rx,o=rx -
ユーザー(自分のユーザーまたは新しいユーザー)をwww-dataグループに入れ、グループが
/var/wwwへの書き込み権限を持っていることを確認します例:
[email protected]# adduser joeuser www-data [email protected]# chgrp -R www-data /var/www [email protected]# chmod -R g+w /var/www
追伸:最近は暗号化されていないFTPを使用しないでください。 sftp(sshスイートから)または少なくともftps(ftp over ssl)を使用します。