सवाल / Var / www में काम करते समय सुडो का उपयोग करने से कैसे बचें?


मैं उपयोग करना बंद करना चाहता हूं sudo हर बार जब मैं काम करता हूं /var/www। मैं उसे कैसे कर सकता हूँ? मैं बस अपनी सभी साइटों को इस निर्देशिका में रखना चाहता हूं और बिना दर्द के उनके साथ काम करना चाहता हूं।


162
2018-06-01 03:43


मूल


क्या आप अपाचे का उपयोग कर रहे हैं? - Rinzwind
यहां पढ़ने के बाद, यह अनुमति भाग में भी मदद कर सकता है: askubuntu.com/questions/20105/... - Luis Alvarado♦
सुरक्षा पाने का एक और तरीका उपयोग करना जारी रखना है sudo -u www-data लेकिन खुद को प्रतिबंधित करें sudoers फ़ाइल करने में सक्षम होने के लिए फ़ाइल sudo www-data (और सूडो रूट नहीं)। देख serverfault.com/questions/295429/... - Simon Woodside


जवाब:


यहां अधिकांश जवाब दिमाग में सुरक्षा के साथ नहीं लिखे गए हैं। चल रहा है कि एक महसूस करने के लिए अच्छा है sudo हर बार बहुत बुद्धिमान नहीं है। यदि आप एक टाइपो बनाते हैं (उदा। (निष्पादित मत करो) sudo rm -rf / var/www/dir), आप अपने सिस्टम को मिटा सकते हैं।

ध्यान दें: अपाचे 2.4.7 / उबंटू 14.04 से शुरू हो रहा है, /var/www को स्थानांतरित कर दिया गया है /var/www/html तदनुसार इस उत्तर में आदेश समायोजित करें।

देख:

खराब विचार:

  • chmod 777 (sagarchalise) - यह किसी को भी आपके सिस्टम तक पहुंचने की अनुमति देता है निर्देशिकाओं और फ़ाइलों में लिखता है और इस प्रकार घुसपैठिया को किसी भी कोड को निष्पादित करने की इजाजत देता है www-data उपयोगकर्ता
  • chgrp -R www-data $HOME (कोब) - यह अनुमति देता है www-data घर निर्देशिका में किसी भी फाइल को पढ़ने या लिखने के लिए। यह कम विशेषाधिकार नियम को ध्यान में रख नहीं रहा है
  • chown -R $USER:$USER /var/www (kv1dr) - जब तक कि दुनिया ने अनुमतियां पढ़ी हों /var/www, वेबसर्वर के तहत चल रहा है www-data फाइलों को पढ़ने (सेवा) करने में सक्षम नहीं होंगे। अगर फ़ाइल सार्वजनिक रूप से सुलभ सादा HTML दस्तावेज़ है, तो यह कोई समस्या नहीं हो सकती है अगर दुनिया फ़ाइल को पढ़ सके। लेकिन अगर फ़ाइल एक PHP फ़ाइल है जिसमें पासवर्ड हैं, तो यह है।

ध्यान दें: नीचे दिए गए समाधानों में, मैंने दिया है www-data विशेषाधिकार लिखें। तथापि, /usr/share/doc/base-passwd/users-and-groups.txt.gz कहा गया है:

www-डेटा

कुछ वेब सर्वर www-data के रूप में चलते हैं। वेब सामग्री का स्वामित्व इस पर नहीं होना चाहिए     उपयोगकर्ता, या एक समझौता वेब सर्वर एक वेबसाइट को फिर से लिखने में सक्षम हो जाएगा। डेटा     वेब सर्वर द्वारा लिखित www-data के स्वामित्व में होगा।

जहां संभव हो, करो नहीं को लिखने की अनुमति दें www-data समूह। www-data केवल करने में सक्षम होना चाहिए पढ़ना फाइलें ताकि वेबसर्वर इसे सेवा दे सके। एकमात्र मामला कहाँ है www-data लेखन अनुमतियों की आवश्यकता है अपलोड और अन्य स्थानों को संग्रहीत निर्देशिकाओं के लिए जो लिखित होने की आवश्यकता है।

समाधान 1

अपने आप को जोड़ें www-data समूह और सेटगिड बिट पर सेट करें /var/www निर्देशिका जैसे कि सभी नव निर्मित फाइलें इस समूह को भी प्राप्त करती हैं।

sudo gpasswd -a "$USER" www-data

पहले बनाई गई फ़ाइलों को सही करें (आपको लगता है कि आप एकमात्र उपयोगकर्ता हैं /var/www):

sudo chown -R "$USER":www-data /var/www
find /var/www -type f -exec chmod 0660 {} \;
sudo find /var/www -type d -exec chmod 2770 {} \;

(यहां तक ​​कि सुरक्षित: उपयोग करें 640 या 2750 और मैन्युअल रूप से chmod g+w file-or-dir जिसे वेबसर्वर द्वारा लिखने योग्य होना चाहिए)

समाधान 2

प्रत्येक प्रोजेक्ट के लिए अपनी होम निर्देशिका में एक सिम्लिंक बनाएं। कहें कि आपकी परियोजना पर स्थित है ~/projects/foo और आप इसे स्थित करना चाहते हैं /var/www/foo, भागो:

sudo ln -sT ~/projects/foo /var/www/foo

यदि आपकी होम निर्देशिका में निष्पादित बिट (अवरोही) सेट नहीं है other (सुरक्षा कारणों से), इसके समूह को बदलें www-data, परंतु केवल निष्पादन बिट सेट करें (कोई पढ़ा / लिखना नहीं)। के लिए वही करो ~/projectsफ़ोल्डर के रूप में इसमें www की तुलना में अन्य परियोजनाएं हो सकती हैं। (आपको जरूरत नहीं है sudo अगर आपने पहले अपना उपयोगकर्ता जोड़ा है www-data समूह।)

sudo chgrp www-data ~ ~/projects
chmod 710 ~ ~/projects

समूह को सेट करें www-data पर ~/projects/foo और वेबसर्वर को फ़ाइलों और फ़ाइलों + निर्देशिकाओं को पढ़ने और लिखने और निर्देशिकाओं में उतरने की अनुमति देता है:

sudo chgrp www-data ~/projects/foo
find ~/projects/foo -type f -exec chmod 660 {} \;
find ~/projects/foo -type d -exec chmod 2770 {} \;

यहां तक ​​कि सुरक्षित: डिफ़ॉल्ट रूप से 640 और 2750 का उपयोग करें और मैन्युअल रूप से chmod फ़ाइलें और निर्देशिका जिन्हें वेबसर्वर उपयोगकर्ता द्वारा लिखने योग्य होने की आवश्यकता है। सेटगिड बिट केवल तभी जोड़ा जाना चाहिए जब आप हर नई बनाई गई फ़ाइल को चाहते हैं ~/projects/foo समूह द्वारा सुलभ होने के लिए।

अब से, आप अपनी साइट पर पहुंच सकते हैं http://localhost/foo और अपनी परियोजना फाइलों को संपादित करें ~/projects/foo

यह भी देखें


229
2018-06-01 09:48



टर्मिनल में www-session के बारे में आप क्या सोचते हैं sudo su www-data? एक अलग रंगीन संकेत के साथ, यह और अधिक स्पष्ट करने के लिए कि यह एक अलग उपयोगकर्ता का खोल है, और एक नीति हमेशा संबंधित xterm को रखने के लिए - उदाहरण के लिए - आभासी डेस्कटॉप 4, ताकि आप इसका उपयोग कर सकें भ्रम से बचें? - user unknown
@user अज्ञात: यदि आप टर्मिनल ठीक में सब कुछ करते हैं क्योंकि आपके पास उपयोगकर्ता-खातों के बीच स्पष्ट अलगाव है। लेकिन अगर आप जीयूआई प्रोग्राम का उपयोग करते हैं तो यह काम नहीं करेगा gedit। मैंने कभी शोध नहीं किया है कि वर्तमान सत्र में किसी अन्य उपयोगकर्ता के तहत एक जीयूआई प्रोग्राम चलाने से सुरक्षित है या नहीं, यह एक दिलचस्प सवाल होगा। - Lekensteyn
@imaginaryRobots: अगर मैं हर प्रश्न के लिए अलग-अलग समाधान पोस्ट करने जा रहा था, तो Askubuntu तीन लाइनों के जवाब से भरा होगा। मैं इसे तब तक रखूंगा जब तक कि आप मुझे इसे विभाजित करने के लिए मना सकें। - Lekensteyn
@berbt setfacl -d u::rwX,g::rX /var/www मजाकिया प्रभाव है कि डिफ़ॉल्ट मोड 0750 (या 0640) बन जाता है भले ही उमास्क शून्य हो। यदि आप विश्व-लेखन योग्य फाइलों से बचना चाहते हैं, तो यह एक अच्छा विचार हो सकता है, लेकिन यदि /var/www दुनिया से पहले से ही पहुंच योग्य नहीं है इसकी आवश्यकता नहीं है। - Lekensteyn
समाधान 1 में प्रक्रिया को बदलने के साथ कोई समस्या है? इसका मतलब है, /var/www/app01 स्वामित्व है app01:app01, और फिर www-data  उपयोगकर्ता में जोड़ा गया है app01  समूह? या वह कुछ तोड़ देगा? - Jack_Hu


/ Var / www में अपनी वेबसाइटों को संग्रहीत करने के बजाय मैं अपने घर फ़ोल्डर में स्थित साइटों पर लिंक डालता हूं। मैं स्वतंत्र रूप से संपादित कर सकता हूं, या अपनी साइट पर पेज जोड़ सकता हूं। जब मैं परिवर्तनों से खुश हूं तो मैं एक होस्टिंग कंपनी के लिए एफ़टीपी जहां मेरा डोमेन नाम लिंक करता है।


7
2018-06-01 07:06



यह एक समझदार विचार है। - thomasrutter


यदि आप अपने समूह द्वारा / var / www लिखने योग्य बनाते हैं और समूह में स्वयं को जोड़ते हैं, तो आपको अभी भी काफी सुरक्षित होने पर सूडो का उपयोग नहीं करना पड़ेगा। इसे इस्तेमाल करे:

sudo adduser <username> www-data
sudo chown -R www-data:www-data /var/www
sudo chmod -R g+rw /var/www

फिर आपको संपादित करने में सक्षम होना चाहिए /var/www/ बिना परेशानी के फाइलें।

पहली पंक्ति आपको जोड़ती है www-data समूह, दूसरी पंक्ति किसी भी फाइल को गड़बड़ कर स्वामित्व के साथ साफ़ करती है, और तीसरा ऐसा करता है ताकि सभी उपयोगकर्ता जो सदस्य हैं www-data समूह सभी फाइलें पढ़ और लिख सकता है /var/www


6
2017-07-01 00:41



सुरक्षा के लिए यह एक बहुत बुरा विचार है और अन्य उत्तरों में बताए गए कारणों के लिए, इस सलाह का पालन नहीं किया जाना चाहिए। www-data एक होना चाहिए आम समूह, लेखन के बिना। - thomasrutter


क्या न करें

  • फ़ाइल अनुमतियों को सेट न करें 777 (विश्व लिखने योग्य)

    यह एक महत्वपूर्ण सुरक्षा दोष है, खासकर यदि आप सर्वर-साइड स्क्रिप्टिंग जैसे PHP को सक्षम करते हैं। अनधिकृत प्रक्रियाएं उन फ़ाइलों को लिखने में सक्षम नहीं होनी चाहिए जो वेबसाइट को प्रभावित करती हैं या सर्वर-साइड स्क्रिप्टिंग के मामले में, मनमानी कोड निष्पादित करती हैं।

  • खुद को एक सदस्य के रूप में जोड़ें मत www-डेटा समूह और इसे लिखने की अनुमति दें

    उस समूह का उद्देश्य यह है कि यह एक है आम समूह है कि सर्वर प्रक्रियाओं ऐसे दोड़ो। उपरोक्त कारणों के लिए, उन्हें संभवतः वेबसाइट फ़ाइलों तक पहुंच को पढ़ना चाहिए।

  • अपाचे प्रक्रियाओं की अनुमतियों को न बदलें

    अपाचे बाल प्रक्रियाएं चलती हैं www-data डिफ़ॉल्ट रूप से उपयोगकर्ता और समूह, और इसे बदला नहीं जाना चाहिए। यह उन्हें फाइल सिस्टम को कोई लिखने की अनुमति देने का एक तरीका है।

    कुछ परिस्थितियों में आप चाहते हैं कि आपकी सर्वर-साइड स्क्रिप्ट फ़ाइलों को लिखने में सक्षम हों, इस मामले में केवल उन फ़ाइलों को लिखने योग्य होना चाहिए www-data और सुरक्षा सुनिश्चित करने के लिए देखभाल की जानी चाहिए।

डॉस

  • फ़ाइलों को अपने आप स्वामित्व में सेट करें

    यदि आप वेबसाइट पर कुछ फ़ाइलों को संशोधित करने के लिए एकमात्र, या सामान्य हैं, तो यह केवल उन फ़ाइलों के स्वामित्व को लेने के लिए पूरी समझ में आता है। अपने मालिक को सेट करें <your username>

    इसके लिए आपको सर्वर अनुमतियों को संशोधित करने की आवश्यकता नहीं है, क्योंकि सर्वर आपके द्वारा स्वामित्व वाली फ़ाइलों के बाद भी केवल पढ़ने-योग्य पहुंच प्राप्त करना जारी रखेगा।

  • फ़ाइलों को रखने के लिए एक समझदार जगह चुनें (का उपयोग कर DocumentRoot)

    अगर /var/www समझ में नहीं आता है, आप उन्हें कहीं और रखने के लिए स्वागत है। यदि वे आपके अपने विकास या परीक्षण के लिए विशिष्ट हैं, तो आप उन्हें अपनी होम निर्देशिका में रख सकते हैं। या आप कुछ निर्देशिकाएं स्थापित कर सकते हैं /srv

  • अगर आप देना चाहते हैं समूह पहुंच लिखें, एक बनाएँ नया उद्देश्य के लिए समूह

    सिस्टम समूह का दोबारा उपयोग न करें, क्योंकि इन्हें आम तौर पर सुरक्षा कारणों से एक्सेस करने के लिए डिज़ाइन किया गया है, और अब नहीं।


5
2017-11-23 23:43





यह आसान है। आपको न तो 'userDir' को अपनाने की आवश्यकता है (अनुशंसित नहीं है) और न ही 'www-data' समूहों के साथ गड़बड़ करना (फेडोरा के मामले में अपाचे समूह)

बस अपनी परियोजना निर्देशिका अंदर बनाएँ /var/www/html

cd /var/www/html
sudo mkdir my_project

फिर बस अपने उपयोगकर्ता को प्रोजेक्ट निर्देशिका दिखाएं।

sudo chown your_username my_project

अब आप किसी भी संपादक, अपनी पसंद के आईडीई के साथ एक नियमित उपयोगकर्ता के रूप में अपने प्रोजेक्ट फ़ोल्डर पर काम करना शुरू कर सकते हैं। अब और नहीं sudos :)


5
2017-08-06 07:49



+1 मैं यही करता हूं: स्वामित्व को बदलना नहीं /var/www खुद, लेकिन उपनिर्देशिकाओं के। - fkraiem


मालिक को एक्सेस करने की अनुमति देने के लिए www पर / var पर chmod, और यह सुनिश्चित करने के लिए दिखाया गया है कि आप इसका स्वामी हैं। शायद एक बेवकूफ विचार, लेकिन यह निश्चित रूप से काम करेगा।


1
2018-06-01 03:59



एक बेवकूफ विचार नहीं, यह सुरक्षा के अनुसार एक समझदार विचार है। नोट: आपको अनुमतियों को बदलने की आवश्यकता नहीं है (और नहीं) /varबस /var/www और / या इसकी सामग्री। - thomasrutter


आप टर्मिनल में www-session प्रारंभ कर सकते हैं

sudo su www-data

एक अलग रंगीन प्रॉम्प्ट * के साथ संयुक्त, यह और अधिक स्पष्ट करने के लिए कि यह एक अलग उपयोगकर्ता का खोल है, और एक नीति हमेशा संबंधित xterm (और संपादक और इस तरह) को रखने के लिए - उदाहरण के लिए - आभासी डेस्कटॉप 4, ताकि भ्रम से बचने के लिए आप इसका इस्तेमाल करते हैं।

*) एक अलग रंग के साथ एक अलग रंगीन संकेत के लिए, इस तरह एक फ़ाइल / आदि / प्रॉम्प्ट बनाएं:

# PROMPTING
#       When  executing  interactively, bash displays the primary prompt PS1 when it is ready to read a command, and the sec-
#       ondary prompt PS2 when it needs more input to complete a command.  Bash allows these prompt strings to be  customized
#       by inserting a number of backslash-escaped special characters that are decoded as follows:
#              \a     an ASCII bell character (07)
#              \d     the date in "Weekday Month Date" format (e.g., "Tue May 26")
#              \D{format}
#                     the  format is passed to strftime(3) and the result is inserted into the prompt string; an empty format
#                     results in a locale-specific time representation.  The braces are required
#              \e     an ASCII escape character (033)
#              \h     the hostname up to the first `.'
#              \H     the hostname
#              \j     the number of jobs currently managed by the shell
#              \l     the basename of the shell's terminal device name
#              \n     newline
#              \r     carriage return
#              \s     the name of the shell, the basename of $0 (the portion following the final slash)
#              \t     the current time in 24-hour HH:MM:SS format
#              \T     the current time in 12-hour HH:MM:SS format
#              \@     the current time in 12-hour am/pm format
#              \A     the current time in 24-hour HH:MM format
#              \u     the username of the current user
#              \v     the version of bash (e.g., 2.00)
#              \V     the release of bash, version + patchelvel (e.g., 2.00.0)
#              \w     the current working directory
#              \W     the basename of the current working directory
#              \!     the history number of this command
#              \#     the command number of this command
#              \$     if the effective UID is 0, a #, otherwise a $
#              \nnn   the character corresponding to the octal number nnn
#              \\     a backslash
#              \[     begin a sequence of non-printing characters, which could be used to embed a terminal  control  sequence
#                     into the prompt
#              \]     end a sequence of non-printing characters
#
#       The  command  number and the history number are usually different: the history number of a command is its position in
#       the history list, which may include commands restored from the history file (see HISTORY below),  while  the  command
#       number  is  the  position in the sequence of commands executed during the current shell session.  After the string is
#
# colors:
# \[...\]   wird benötigt, damit die shell weiß, daß hier kein printable output ist, und die Umbrüche richtig plaziert.
#
# ANSI COLORS
CRE="\[
[K\]"
NORMAL="\[[0;39m\]"
# RED: Failure or error message
RED="\[[1;31m\]"
# GREEN: Success message
GREEN="\[[1;32m\]"
# YELLOW: Descriptions
YELLOW="\[[1;33m\]"
# BLUE: System messages
BLUE="\[[1;34m\]"
# MAGENTA: Found devices or drivers
MAGENTA="\[[1;35m\]"
# CYAN: Questions
CYAN="\[[1;36m\]"
# BOLD WHITE: Hint
WHITE="\[[1;37m\]"
#
# default:
# postgres, oracle, www-data
#
# PS1=$BLUE"machine]->"$NORMAL\\w"$BLUE ø $NORMAL"
PS1=$BLUE"machine]:"$NORMAL\\w"$BLUE > $NORMAL"
#
# root, stefan:
#
case "$UID" in
    '0')
        PS1=$RED"machine:"$NORMAL\\w"$RED # $NORMAL"
    ;;
    '1000')
    PS1=$GREEN"machine:"$BLUE\\w$YELLOW" > "$NORMAL
    ;;
#    default)
#    ;;
esac

और इसे स्रोत /etc/bash.bashrc उदाहरण के लिए।

भेद में मदद करने के लिए अतिरिक्त टूल के रूप में, आप हमेशा अपनी फाइलों को उपनाम 'एडिट' या सिमलिंक के साथ संपादित कर सकते हैं, जो आपकी पहचान (टेलर / www-data) के आधार पर जीएडिट या माउसपैड, विम या पिको के आधार पर इंगित करता है। या आप विभिन्न संपादक प्रोफाइल का उपयोग कर सकते हैं, कम से कम जीएडिट में आप अपनी प्राथमिकताओं को सफेद जमीन पर काले रंग या काले रंग के सफेद रंग पर सफेद पाठ पर सेट कर सकते हैं।

मेरे पास रूट के रूप में काम करने के लिए केवल ऐसी नीति है, इसलिए मुझे यकीन नहीं है कि यह www-data के साथ काम करने के लिए कितना अच्छा होगा। अलग-अलग मेजबानों के लिए एसएसएच-सत्रों के साथ संयुक्त, जिनके पास अपने स्वयं के संकेत हैं, उन्होंने मुझे कभी-कभी गलत होने से नहीं रोका, लेकिन यदि ऐसा होता है, तो मुझे तेज़ी से पता चलता है, क्या गलत है, और यह शायद ही कभी होता है।

नोट: प्रॉम्प्ट-स्क्रिप्ट आंशिक रूप से बैश के मैनपेज की एक प्रति है।


1
2018-06-01 15:49



यह काम करेगा, और (यदि सावधानी से उपयोग किया जाता है) नकारात्मक रूप से सुरक्षा को प्रभावित करेगा, लेकिन यह सबसे सरल समाधान नहीं हो सकता है। हालांकि कुछ लोगों के लिए यह एक वैध समाधान है। - thomasrutter


पर मेरी साइट का यह पृष्ठ मैं अनुमति को बदलने के लिए आदेशों को कवर करता हूं /var/www अपाचे और पीआई उपयोगकर्ता के बीच लेकिन यह आवश्यक है

sudo chown -R pi /var/www

फिर एक अपाचे पुनरारंभ करें

sudo service apache2 restart

-1
2017-11-23 23:27



लिंक अब काम करता है - Gadgetroid