Jak uniknąć używania sudo podczas pracy w / var / www?

172

Chcę przestać używać sudoza każdym razem, gdy pracuję /var/www. Jak mogę to zrobić? Chcę po prostu umieścić wszystkie moje strony w tym katalogu i pracować z nimi bez większego bólu.

TaylorOtwell
źródło
3
Czy używasz apache?
Rinzwind
1
Po przeczytaniu tutaj może to również pomóc w części dotyczącej zezwolenia: askubuntu.com/questions/20105/…
Luis Alvarado
2
Innym sposobem na uzyskanie bezpieczeństwa jest dalsze używanie, sudo -u www-dataale ograniczanie się do sudoerspliku, aby móc tylko sudo www-data(a nie sudo root). Zobacz serverfault.com/questions/295429
Simon Woodside

Odpowiedzi:

249

Większość odpowiedzi tutaj nie jest napisana z myślą o bezpieczeństwie. Dobrze jest mieć wrażenie, że bieganie za sudokażdym razem nie jest zbyt mądre. Jeśli popełnisz literówkę (na przykład pojedynczą białą spację w niewłaściwym miejscu: sudo rm -rf / var/www/dir nie wykonuj! ), Możesz zniszczyć swój system.

Uwaga: Począwszy od Apache 2.4.7 / Ubuntu 14.04, /var/wwwzostał przeniesiony, aby odpowiednio /var/www/htmldostosować polecenia w tej odpowiedzi.

Widzieć:

Złe pomysły:

  • chmod 777(sagarchalise) - umożliwia to każdemu, kto ma dostęp do twojego systemu, zapis do katalogów i plików, a tym samym pozwala intruzowi na wykonanie dowolnego kodu pod www-dataużytkownikiem
  • chgrp -R www-data $HOME(cob) - umożliwia www-dataodczyt lub zapis dowolnych plików w katalogu domowym. Nie chodzi tu o zasadę „najmniejszego przywileju”
  • chown -R $USER:$USER /var/www(kv1dr) - chyba że świat ma uprawnienia do odczytu /var/www, uruchomiony pod nim serwer WWW www-datanie będzie mógł odczytać (serwować) plików. Jeśli plik jest publicznie dostępnym zwykłym dokumentem HTML, może nie być problemem, jeśli świat może go odczytać. Ale jeśli plik jest plikiem PHP zawierającym hasła, to jest.

UWAGA : w poniższych rozwiązaniach przyznałem www-datauprawnienia do zapisu. Jednak /usr/share/doc/base-passwd/users-and-groups.txt.gzstwierdza:

www-data

Niektóre serwery WWW działają jako dane www. Ten użytkownik nie powinien należeć do treści internetowych, ponieważ zaatakowany serwer sieciowy mógłby przepisać witrynę. Dane zapisane przez serwery WWW będą własnością www-data.

Tam, gdzie to możliwe, nie udzielaj uprawnień do zapisu www-datagrupie. www-datamusi tylko być w stanie odczytać pliki, aby serwer mógł je obsłużyć. Jedyny przypadek, w którym www-datapotrzebne są uprawnienia do zapisu, dotyczy katalogów przechowujących przesłane pliki i innych lokalizacji, które należy zapisać.

Rozwiązanie 1

Dodaj się do www-datagrupy i ustaw bit setgid w /var/wwwkatalogu, aby wszystkie nowo utworzone pliki również dziedziczyły tę grupę.

sudo gpasswd -a "$USER" www-data

Popraw wcześniej utworzone pliki (zakładając, że jesteś jedynym użytkownikiem /var/www):

sudo chown -R "$USER":www-data /var/www
find /var/www -type f -exec chmod 0660 {} \;
sudo find /var/www -type d -exec chmod 2770 {} \;

(jeszcze bezpieczniejsze: użyj 640lub 2750ręcznie, chmod g+w file-or-dirktóre muszą być zapisywane przez serwer)

Rozwiązanie 2

Utwórz dowiązanie symboliczne dla każdego projektu do katalogu domowego. Załóżmy, że Twój projekt znajduje się pod adresem ~/projects/fooi chcesz go mieć /var/www/foo, uruchom:

sudo ln -sT ~/projects/foo /var/www/foo

Jeśli twój katalog domowy nie ma ustawionego bitu wykonawczego (zejście) dla other(ze względów bezpieczeństwa), zmień jego grupę na www-data, ale ustaw tylko bit wykonawczy (bez odczytu / zapisu). Zrób to samo dla ~/projectsfolderu, ponieważ może on zawierać inne projekty niż www. (Nie potrzebujesz, sudojeśli wcześniej dodałeś swojego użytkownika do www-datagrupy).

sudo chgrp www-data ~ ~/projects
chmod 710 ~ ~/projects

Ustaw grupę www-datana ~/projects/fooi pozwolić serwer WWW do odczytu i zapisu do plików i katalogów i plików + zejście do katalogów:

sudo chgrp www-data ~/projects/foo
find ~/projects/foo -type f -exec chmod 660 {} \;
find ~/projects/foo -type d -exec chmod 2770 {} \;

Jeszcze bezpieczniej: używaj domyślnie 640 i 2750 i ręcznie chmod pliki i katalogi, które muszą być zapisywalne przez użytkownika serwera WWW. Bit setgid powinien zostać dodany tylko wtedy, gdy chcesz, aby każdy nowo utworzony plik ~/projects/foobył dostępny dla grupy.

Od teraz możesz uzyskiwać dostęp do swojej witryny http://localhost/fooi edytować pliki projektu w ~/projects/foo.

Zobacz też

Lekensteyn
źródło
Co sądzisz o sesji www w terminalu sudo su www-data? W połączeniu z podpowiedziami w innym kolorze, aby stało się bardziej oczywiste, że jest to powłoka innego użytkownika oraz polityka, aby zawsze umieszczać odpowiedni xterm - na przykład na wirtualnym pulpicie 4, abyś się do tego przyzwyczaił, uniknąć nieporozumień?
użytkownik nieznany
@ użytkownik nieznany: jeśli zrobisz wszystko w terminalu dobrze, ponieważ masz wyraźne oddzielenie kont użytkowników. Ale to nie zadziała, jeśli użyjesz takiego programu GUI gedit. Nigdy nie badałem, czy uruchomienie programu GUI pod innym użytkownikiem w bieżącej sesji jest bezpieczne, czy nie, byłoby to interesujące pytanie.
Lekensteyn
1
@imaginaryRobots: gdybym chciał zamieścić różne rozwiązania dla każdego pytania, Askubuntu byłby pełen odpowiedzi w trzech liniach. Zatrzymam go tak, jak jest, chyba że możesz mnie przekonać do podzielenia go.
Lekensteyn
1
@berbt setfacl -d u::rwX,g::rX /var/wwwma zabawny efekt, że domyślnym trybem jest 0750 (lub 0640), nawet jeśli umask wynosi zero. Dobrym pomysłem może być unikanie plików zapisywanych w świecie, ale jeśli /var/wwwświat jest już niedostępny, nie jest potrzebny.
Lekensteyn
1
Czy występuje problem z odwracaniem procesu w rozwiązaniu 1? Rozumiem przez to, czy /var/www/app01jest właścicielem app01:app01, a następnie www-data użytkownik jest dodawany do app01 grupy ? Czy to coś zepsuje?
Jack_Hu
9

Zamiast przechowywać moje strony w / var / www, umieszczam tam linki do stron znajdujących się w moim katalogu domowym. Mogę dowolnie edytować lub dodawać strony do moich witryn. Kiedy jestem zadowolony ze zmian, przesyłam FTP do firmy hostingowej, do której prowadzi moja nazwa domeny.

fragos
źródło
To rozsądny pomysł.
thomasrutter,
7

Jeśli sprawisz, że / var / www będzie zapisywalne przez grupę i dodasz się do grupy, nie będziesz musiał używać sudo, będąc wciąż dość bezpiecznym. Spróbuj tego:

sudo adduser <username> www-data
sudo chown -R www-data:www-data /var/www
sudo chmod -R g+rw /var/www

Powinieneś wtedy móc /var/www/bezproblemowo edytować pliki.

Pierwszy wiersz dodaje Cię do www-datagrupy, drugi usuwa wszystkie pliki z błędnym prawem własności, a trzeci sprawia, że ​​wszyscy użytkownicy będący członkami www-datagrupy mogą czytać i zapisywać wszystkie pliki /var/www.

Azendale
źródło
4
Jest to bardzo zły pomysł na bezpieczeństwo i nie należy stosować się do tych rad, z powodów wyjaśnionych w innych odpowiedziach. www-data ma być nieuprzywilejowaną grupą bez dostępu do zapisu.
thomasrutter,
5

Nie

  • Nie ustawiaj uprawnień do plików na 777 (do zapisu na świecie)

    Jest to znacząca wada bezpieczeństwa, szczególnie jeśli włączysz skrypty po stronie serwera, takie jak PHP. Nieuprzywilejowane procesy nie powinny mieć możliwości zapisu do plików, które mogłyby mieć wpływ na stronę internetową lub, w przypadku użycia skryptów po stronie serwera, wykonać dowolny kod.

  • Nie dodawaj się do grupy danych www i nie zezwalaj jej na zapis

    Celem tej grupy jest to, że jest to grupa nieuprzywilejowana , jako procesy uruchomione przez serwer . Powinny mieć dostęp do odczytu plików stron internetowych tylko tam, gdzie to możliwe, z tych samych powodów, co powyżej.

  • Nie zmieniaj uprawnień procesów Apache

    Procesy potomne Apache działają www-datadomyślnie jako użytkownik i grupa i nie należy tego zmieniać. Jest to tylko sposób, aby nie dać im uprawnień do zapisu w systemie plików.

    W niektórych okolicznościach chcesz, aby skrypty po stronie serwera mogły zapisywać do plików, w takim przypadku tylko te pliki powinny być zapisywane przez www-datai należy zadbać o bezpieczeństwo.

Dos

  • Ustaw pliki, które mają być Twoją własnością

    Jeśli jesteś jedynym lub zwykłym, który modyfikuje niektóre pliki w witrynie, wtedy sensowne jest przejęcie tych plików na własność. Ustaw ich właściciela na <your username>.

    Nie musisz w tym celu modyfikować uprawnień serwera, ponieważ serwer będzie nadal uzyskiwał dostęp tylko do odczytu, nawet jeśli pliki są Twoją własnością.

  • Wybierz rozsądne miejsce do przechowywania plików (przy użyciu DocumentRoot )

    Jeśli /var/wwwto nie ma sensu, możesz je umieścić gdzie indziej. Jeśli są one specyficzne dla twojego rozwoju lub testowania, możesz umieścić je w swoim katalogu domowym. Lub możesz skonfigurować niektóre katalogi w /srv.

  • Jeśli chcesz dać grupa dostęp do zapisu, należy utworzyć nową grupę dla celów

    Nie używaj ponownie grupy systemowej, ponieważ zazwyczaj są one zaprojektowane tak, aby mieć dostęp, jaki mają obecnie, i nie więcej, ze względów bezpieczeństwa.

thomasrutter
źródło
5

To takie proste. Nie musisz włączać katalogu „UserDir” apache (niezalecane) ani mieszać się z grupami „www-data” (grupa apache w przypadku Fedory)

Wystarczy utworzyć katalog projektu w środku /var/www/html

cd /var/www/html
sudo mkdir my_project

Następnie po prostu pokaż katalog projektu swojemu użytkownikowi.

sudo chown your_username my_project

Teraz możesz rozpocząć pracę nad folderem projektu jako zwykły użytkownik z dowolnym edytorem, dowolnym IDE. Ma więcej sudos :)

Gayan Weerakutti
źródło
1
+1 To właśnie robię: zmieniam własność nie z /var/wwwsiebie, ale z podkatalogów.
fkraiem
2

chmod w / var na www, aby umożliwić właścicielowi dostęp, i chown, aby upewnić się, że jesteś jego właścicielem. Prawdopodobnie głupi pomysł, ale na pewno się sprawdzi.

Daniel
źródło
2
To nie jest głupi pomysł, to rozsądny pomysł ze względów bezpieczeństwa. Uwaga: Nie musisz (i nie powinieneś) zmieniać uprawnień /var, tylko /var/wwwi / lub jego zawartości.
thomasrutter,
1

Możesz rozpocząć sesję www w terminalu przez

sudo su www-data

W połączeniu z monitem o innym kolorze *, aby było bardziej oczywiste, że jest to powłoka innego użytkownika oraz polityka zawsze umieszczająca odpowiedni xterm (i edytor itp.) - na przykład na wirtualnym pulpicie 4, tak aby przyzwyczajasz się do tego, aby uniknąć zamieszania.

*) W przypadku monitu o innym kolorze z innym znakiem utwórz plik / etc / prompt w następujący sposób:

# PROMPTING
#       When  executing  interactively, bash displays the primary prompt PS1 when it is ready to read a command, and the sec-
#       ondary prompt PS2 when it needs more input to complete a command.  Bash allows these prompt strings to be  customized
#       by inserting a number of backslash-escaped special characters that are decoded as follows:
#              \a     an ASCII bell character (07)
#              \d     the date in "Weekday Month Date" format (e.g., "Tue May 26")
#              \D{format}
#                     the  format is passed to strftime(3) and the result is inserted into the prompt string; an empty format
#                     results in a locale-specific time representation.  The braces are required
#              \e     an ASCII escape character (033)
#              \h     the hostname up to the first `.'
#              \H     the hostname
#              \j     the number of jobs currently managed by the shell
#              \l     the basename of the shell's terminal device name
#              \n     newline
#              \r     carriage return
#              \s     the name of the shell, the basename of $0 (the portion following the final slash)
#              \t     the current time in 24-hour HH:MM:SS format
#              \T     the current time in 12-hour HH:MM:SS format
#              \@     the current time in 12-hour am/pm format
#              \A     the current time in 24-hour HH:MM format
#              \u     the username of the current user
#              \v     the version of bash (e.g., 2.00)
#              \V     the release of bash, version + patchelvel (e.g., 2.00.0)
#              \w     the current working directory
#              \W     the basename of the current working directory
#              \!     the history number of this command
#              \#     the command number of this command
#              \$     if the effective UID is 0, a #, otherwise a $
#              \nnn   the character corresponding to the octal number nnn
#              \\     a backslash
#              \[     begin a sequence of non-printing characters, which could be used to embed a terminal  control  sequence
#                     into the prompt
#              \]     end a sequence of non-printing characters
#
#       The  command  number and the history number are usually different: the history number of a command is its position in
#       the history list, which may include commands restored from the history file (see HISTORY below),  while  the  command
#       number  is  the  position in the sequence of commands executed during the current shell session.  After the string is
#
# colors:
# \[...\]   wird benötigt, damit die shell weiß, daß hier kein printable output ist, und die Umbrüche richtig plaziert.
#
# ANSI COLORS
CRE="\[
[K\]"
NORMAL="\[[0;39m\]"
# RED: Failure or error message
RED="\[[1;31m\]"
# GREEN: Success message
GREEN="\[[1;32m\]"
# YELLOW: Descriptions
YELLOW="\[[1;33m\]"
# BLUE: System messages
BLUE="\[[1;34m\]"
# MAGENTA: Found devices or drivers
MAGENTA="\[[1;35m\]"
# CYAN: Questions
CYAN="\[[1;36m\]"
# BOLD WHITE: Hint
WHITE="\[[1;37m\]"
#
# default:
# postgres, oracle, www-data
#
# PS1=$BLUE"machine]->"$NORMAL\\w"$BLUE ø $NORMAL"
PS1=$BLUE"machine]:"$NORMAL\\w"$BLUE > $NORMAL"
#
# root, stefan:
#
case "$UID" in
    '0')
        PS1=$RED"machine:"$NORMAL\\w"$RED # $NORMAL"
    ;;
    '1000')
    PS1=$GREEN"machine:"$BLUE\\w$YELLOW" > "$NORMAL
    ;;
#    default)
#    ;;
esac

i /etc/bash.bashrcna przykład go pozyskaj.

Jako dodatkowe narzędzie pomagające odróżnić, zawsze możesz edytować swoje pliki za pomocą aliasu „edit” lub dowiązania symbolicznego, które wskazuje, w zależności od twojej tożsamości (taylor / www-data), na gedit lub podkładkę pod mysz, vim lub pico. Lub możesz użyć różnych profili edytora, przynajmniej w gedit możesz na przykład ustawić preferencje na czarny tekst na białym tle lub biały tekst na czarnym tle.

Mam tylko taką zasadę działania jako root, więc nie jestem pewien, jak dobrze będzie pasować do pracy z danymi www. W połączeniu z sesjami ssh do różnych hostów, które mają własne podpowiedzi, nie powstrzymało mnie to przed czasem, że się mylę, ale jeśli tak się stanie, szybko zdaję sobie sprawę, co jest nie tak i zdarza się rzadko.

Uwaga: Skrypt zachęty jest częściowo kopią strony podręcznika bash.

nieznany użytkownik
źródło
Będzie to działać i nie będzie (jeśli będzie stosowane ostrożnie) negatywnie wpłynąć na bezpieczeństwo, ale może nie być najprostszym rozwiązaniem. Jest to prawidłowe rozwiązanie dla niektórych osób.
thomasrutter,