Wie kann man die Verwendung von sudo vermeiden, wenn in / var / www gearbeitet wird?

163

Ich möchte nicht mehr jedes Mal, wenn ich in sudo arbeite, /var/www verwenden. Wie kann ich das machen? Ich möchte einfach alle meine Websites in dieses Verzeichnis aufnehmen und mit ihnen arbeiten, ohne zu große Schmerzen zu verursachen.

    
TaylorOtwell 01.06.2011, 05:43
quelle

8 Antworten

230

Die meisten Antworten werden nicht aus Sicherheitsgründen geschrieben. Es ist gut zu wissen, dass es nicht sehr sinnvoll ist, jedes Mal sudo zu laufen. Wenn Sie einen Tippfehler machen (z. B. ( nicht ausführen ) sudo rm -rf / var/www/dir ), können Sie Ihr System in den Papierkorb werfen.

Hinweis: Ausgehend von Apache 2.4.7 / Ubuntu 14.04 wurde /var/www nach /var/www/html verschoben. Passen Sie die Befehle in dieser Antwort entsprechend an.

Siehe:

Schlechte Ideen:

  • chmod 777 (sagarchalise) - Dies ermöglicht jedem, der Zugriff auf Ihr System hat, in die Verzeichnisse und Dateien zu schreiben, wodurch der Eindringling beliebigen Code unter dem Benutzer www-data
  • ausführen kann
  • chgrp -R www-data $HOME (cob) - Dadurch kann www-data Dateien im Basisverzeichnis lesen oder schreiben. Dies gilt nicht für die Least Privilege-Regel
  • chown -R $USER:$USER /var/www (kv1dr) - Wenn die Welt nicht über Leseberechtigungen für /var/www verfügt, kann der unter www-data ausgeführte Webserver die Dateien nicht lesen (bedienen). Wenn es sich bei der Datei um ein öffentlich zugängliches reines HTML-Dokument handelt, ist es möglicherweise kein Problem, wenn die Welt die Datei lesen kann. Handelt es sich bei der Datei jedoch um eine PHP-Datei mit Passwörtern, handelt es sich um.

HINWEIS: In den folgenden Lösungen habe ich www-data Schreibrechte erteilt. /usr/share/doc/base-passwd/users-and-groups.txt.gz besagt jedoch:

  

www-data

     

Einige Webserver werden als WWW-Daten ausgeführt. Webinhalte sollten davon nicht betroffen sein     Benutzer oder ein gefährdeter Webserver könnte eine Website umschreiben. Daten     von Webservern ausgeschrieben wird das Eigentum von www-data.

Wenn möglich, erteilen Sie nicht Schreibberechtigungen für die Gruppe www-data . www-data muss nur in der Lage sein, die Dateien zu lesen , damit der Webserver sie bereitstellen kann. Der einzige Fall, in dem www-data Schreibrechte benötigt, betrifft Verzeichnisse, in denen Uploads und andere Speicherorte gespeichert sind, die geschrieben werden müssen.

Lösung 1

Fügen Sie sich zur Gruppe www-data hinzu und setzen Sie das Setgid-Bit im Verzeichnis /var/www so, dass alle neu erstellten Dateien auch diese Gruppe erben.

sudo gpasswd -a "$USER" www-data

Korrigieren Sie zuvor erstellte Dateien (vorausgesetzt, Sie sind der einzige Benutzer von /var/www ):

sudo chown -R "$USER":www-data /var/www
find /var/www -type f -exec chmod 0660 {} \;
sudo find /var/www -type d -exec chmod 2770 {} \;

(noch sicherer: Verwenden Sie 640 oder 2750 und manuell chmod g+w file-or-dir , die vom Webserver beschrieben werden müssen)

Lösung 2

Erstellen Sie für jedes Projekt einen Symlink zu Ihrem Home-Verzeichnis. Angenommen, Ihr Projekt befindet sich unter ~/projects/foo und Sie möchten, dass es sich unter /var/www/foo befindet. Führen Sie Folgendes aus:

sudo ln -sT ~/projects/foo /var/www/foo

Wenn für Ihr Basisverzeichnis kein Ausführungsbit (Abstieg) für other festgelegt ist (aus Sicherheitsgründen), ändern Sie die Gruppe in www-data , aber setzt nur das Ausführungsbit (nein lesen Schreiben). Machen Sie dasselbe für den Ordner ~/projects , da er andere Projekte als www enthalten kann. (Sie benötigen sudo nicht, wenn Sie Ihren Benutzer zuvor zur Gruppe www-data hinzugefügt haben.)

sudo chgrp www-data ~ ~/projects
chmod 710 ~ ~/projects

Setzen Sie die Gruppe auf www-data für ~/projects/foo und erlauben Sie dem Webserver, Dateien und Dateien + Verzeichnisse zu lesen und zu schreiben und in folgende Verzeichnisse zu gelangen:

sudo chgrp www-data ~/projects/foo
find ~/projects/foo -type f -exec chmod 660 {} \;
find ~/projects/foo -type d -exec chmod 2770 {} \;

Noch sicherer: Verwenden Sie standardmäßig 640 und 2750 und manuell chmod-Dateien und Verzeichnisse, die vom Webserver-Benutzer beschrieben werden müssen. Das setgid-Bit sollte nur hinzugefügt werden, wenn jede neu erstellte Datei in ~/projects/foo für die Gruppe zugänglich sein soll.

Ab jetzt können Sie unter http://localhost/foo auf Ihre Site zugreifen und Ihre Projektdateien in ~/projects/foo bearbeiten.

Siehe auch

Lekensteyn 01.06.2011, 11:48
quelle
9

Anstatt meine Websites in / var / www zu speichern, platziere ich dort Links zu den Websites, die sich in meinem Home-Ordner befinden. Ich kann meine Seiten frei bearbeiten oder Seiten hinzufügen. Wenn ich mit Änderungen zufrieden bin, dann per FTP zu einem Hosting-Unternehmen, auf das mein Domainname verweist.

    
fragos 01.06.2011 09:06
quelle
6

Wenn Sie / var / www für die Gruppe beschreibbar machen und sich selbst der Gruppe hinzufügen, müssen Sie sudo nicht verwenden, sind aber dennoch ziemlich sicher. Versuchen Sie dies:

sudo adduser <username> www-data
sudo chown -R www-data:www-data /var/www
sudo chmod -R g+rw /var/www

Anschließend sollten Sie /var/www/ -Dateien problemlos bearbeiten können.

In der ersten Zeile werden Sie der Gruppe www-data hinzugefügt, in der zweiten Zeile werden alle Dateien gelöscht, deren Eigentümer in Unordnung geraten ist. In der dritten Zeile können alle Benutzer, die Mitglieder der Gruppe www-data sind, alle Dateien lesen und schreiben Dateien in /var/www .

    
Azendale 01.07.2011 02:41
quelle
5

Don'ts

  • Legen Sie die Dateiberechtigungen nicht auf 777 (weltweit beschreibbar)

    fest

    Dies ist ein erheblicher Sicherheitsmangel, insbesondere wenn Sie serverseitige Skripts wie PHP aktivieren. Unprivilegierte Prozesse sollten nicht in der Lage sein, in Dateien zu schreiben, die sich auf die Website auswirken könnten, oder im Fall von serverseitigem Scripting beliebigen Code auszuführen.

  • Fügen Sie sich nicht selbst als Mitglied der Gruppe www-data hinzu und erteilen Sie ihr Schreibrechte

    Der Zweck dieser Gruppe besteht darin, dass es eine unprivilegierte Gruppe ist, in der der Server verarbeitet ausgeführt wird. Sie sollten aus den gleichen Gründen wie oben nur lesend auf die Dateien der Website zugreifen können.

  • Ändern Sie nicht die Berechtigungen der Apache-Prozesse

    Die untergeordneten Apache-Prozesse werden standardmäßig als Benutzer und Gruppe www-data ausgeführt. Dies sollte nicht geändert werden. Dies ist nur eine Möglichkeit, ihnen keine Schreibrechte für das Dateisystem zu erteilen.

    Unter bestimmten Umständen möchten Sie, dass Ihre serverseitigen Skripts in Dateien schreiben können. In diesem Fall sollten nur diese Dateien von www-data schreibbar gemacht werden, und es muss sorgfältig darauf geachtet werden Sicherheit.

Dos

  • Legen Sie fest, dass die Dateien Ihnen gehören sollen

    Wenn Sie die einzigen oder die üblichen Dateien sind, die bestimmte Dateien auf der Website ändern, ist es absolut sinnvoll, diese Dateien allein zu übernehmen. Setzen Sie ihren Besitzer auf <your username> .

    Sie müssen dazu die Serverberechtigungen nicht ändern, da der Server weiterhin Lesezugriff erhält, selbst wenn die Dateien Ihnen gehören.

  • Wählen Sie einen geeigneten Ort für die Dateien (mit DocumentRoot )

    Wenn /var/www keinen Sinn ergibt, können Sie sie an anderer Stelle platzieren. Wenn sie spezifisch für Ihre eigene Entwicklung oder für Tests sind, können Sie sie in Ihrem Home-Verzeichnis ablegen. Oder Sie können einige Verzeichnisse in /srv einrichten.

  • Wenn Sie der Gruppe Schreibzugriff erteilen möchten, erstellen Sie eine neue neue Gruppe

    Verwenden Sie eine Systemgruppe nicht erneut, da diese normalerweise aus Sicherheitsgründen den Zugriff haben, den sie aktuell haben, und nicht mehr.

thomasrutter 24.11.2016 00:43
quelle
5

So einfach ist es. Sie müssen weder Apache 'UserDir' aktivieren (nicht empfohlen), noch die 'www-data'-Gruppen (Apache-Gruppe für Fedora)

Erstellen Sie einfach Ihr Projektverzeichnis in /var/www/html

cd /var/www/html
sudo mkdir my_project

Dann geben Sie einfach das Projektverzeichnis Ihrem Benutzer an.

sudo chown your_username my_project

Nun können Sie als normaler Benutzer mit einem beliebigen Editor (IDE Ihrer Wahl) an Ihrem Projektordner arbeiten. Keine weiteren Sudos :)

    
Gayan Weerakutti 06.08.2016 09:49
quelle
1

chmod in / var auf www, um dem Eigentümer Zugriff zu gewähren, und bestätigen Sie, dass Sie Eigentümer sind. Wahrscheinlich eine dumme Idee, aber es würde definitiv funktionieren.

    
Daniel 01.06.2011 05:59
quelle
1

Sie können eine WWW-Sitzung in einem Terminal mit

starten
sudo su www-data

Kombiniert mit einer andersfarbigen Eingabeaufforderung *, um deutlicher zu machen, dass es sich um die Shell eines anderen Benutzers handelt, und um eine Richtlinie zu setzen, die den entsprechenden Xterm (und den entsprechenden Editor usw.) beispielsweise auf den virtuellen Desktop legt 4 , damit Sie sich daran gewöhnen, um Verwirrung zu vermeiden.

*) Für eine andersfarbige Eingabeaufforderung mit einem anderen Zeichen erstellen Sie eine Datei / etc / mit folgender Aufforderung:

# PROMPTING
#       When  executing  interactively, bash displays the primary prompt PS1 when it is ready to read a command, and the sec-
#       ondary prompt PS2 when it needs more input to complete a command.  Bash allows these prompt strings to be  customized
#       by inserting a number of backslash-escaped special characters that are decoded as follows:
#              \a     an ASCII bell character (07)
#              \d     the date in "Weekday Month Date" format (e.g., "Tue May 26")
#              \D{format}
#                     the  format is passed to strftime(3) and the result is inserted into the prompt string; an empty format
#                     results in a locale-specific time representation.  The braces are required
#              \e     an ASCII escape character (033)
#              \h     the hostname up to the first '.'
#              \H     the hostname
#              \j     the number of jobs currently managed by the shell
#              \l     the basename of the shell's terminal device name
#              \n     newline
#              \r     carriage return
#              \s     the name of the shell, the basename of $0 (the portion following the final slash)
#              \t     the current time in 24-hour HH:MM:SS format
#              \T     the current time in 12-hour HH:MM:SS format
#              \@     the current time in 12-hour am/pm format
#              \A     the current time in 24-hour HH:MM format
#              \u     the username of the current user
#              \v     the version of bash (e.g., 2.00)
#              \V     the release of bash, version + patchelvel (e.g., 2.00.0)
#              \w     the current working directory
#              \W     the basename of the current working directory
#              \!     the history number of this command
#              \#     the command number of this command
#              \$     if the effective UID is 0, a #, otherwise a $
#              \nnn   the character corresponding to the octal number nnn
#              \     a backslash
#              \[     begin a sequence of non-printing characters, which could be used to embed a terminal  control  sequence
#                     into the prompt
#              \]     end a sequence of non-printing characters
#
#       The  command  number and the history number are usually different: the history number of a command is its position in
#       the history list, which may include commands restored from the history file (see HISTORY below),  while  the  command
#       number  is  the  position in the sequence of commands executed during the current shell session.  After the string is
#
# colors:
# \[...\]   wird benötigt, damit die shell weiß, daß hier kein printable output ist, und die Umbrüche richtig plaziert.
#
# ANSI COLORS
CRE="\[
[K\]"
NORMAL="\[[0;39m\]"
# RED: Failure or error message
RED="\[[1;31m\]"
# GREEN: Success message
GREEN="\[[1;32m\]"
# YELLOW: Descriptions
YELLOW="\[[1;33m\]"
# BLUE: System messages
BLUE="\[[1;34m\]"
# MAGENTA: Found devices or drivers
MAGENTA="\[[1;35m\]"
# CYAN: Questions
CYAN="\[[1;36m\]"
# BOLD WHITE: Hint
WHITE="\[[1;37m\]"
#
# default:
# postgres, oracle, www-data
#
# PS1=$BLUE"machine]->"$NORMAL\w"$BLUE ø $NORMAL"
PS1=$BLUE"machine]:"$NORMAL\w"$BLUE > $NORMAL"
#
# root, stefan:
#
case "$UID" in
    '0')
        PS1=$RED"machine:"$NORMAL\w"$RED # $NORMAL"
    ;;
    '1000')
    PS1=$GREEN"machine:"$BLUE\w$YELLOW" > "$NORMAL
    ;;
#    default)
#    ;;
esac

und z. B. von /etc/bash.bashrc beziehen.

Als zusätzliches Hilfsmittel zur Unterscheidung können Sie Ihre Dateien immer mit einem Alias "Bearbeiten" oder einem Symlink bearbeiten, der je nach Ihrer Identität (Taylor / WWW-Daten) entweder auf Gedit oder Mousepad, Vim oder Pico verweist. Oder Sie könnten andere Editorprofile verwenden, zumindest in gedit können Sie Ihre Präferenzen beispielsweise auf schwarzen Text auf weißem Grund oder weißen Text auf schwarzem Grund festlegen.

Ich habe nur eine solche Richtlinie, um als root zu arbeiten, daher bin ich mir nicht sicher, wie gut es für die Arbeit mit WWW-Daten ist. Kombiniert mit ssh-Sessions zu verschiedenen Hosts, die ihre eigenen Ansagen haben, hat es mich nicht daran gehindert, manchmal falsch zu sein, aber wenn es passiert, merke ich schnell, was falsch ist, und es passiert selten.

Hinweis: Das Prompt-Skript ist teilweise eine Kopie der Manpage von bash.

    
user unknown 01.06.2011 17:49
quelle
-1

Auf dieser Seite meiner Website verweise ich auf die Befehle zum Ändern der Berechtigung in /var/www zwischen Apache und dem pi Benutzer, aber es ist wesentlich

sudo chown -R pi /var/www

dann ein Apache-Neustart

sudo service apache2 restart
    
Nathan Dickson 24.11.2016 00:27
quelle

Tags und Links