Configuration

www-data 的意圖

  • February 21, 2016

所以我一直想知道 www-data 使用者/組的真正目的是什麼。我是否應該將其他程序員包括在將編輯網站根目錄中的文件的組中?所有文件都應該歸 www-data 所有嗎?

www-data只是一個 UNIX 組,預設情況下用於 Apache。UNIX 使用者www-data不同,必須具有寫入日誌文件、可能是 POST 數據和其他系統任務所需的權限。這些值 ( Userand Group) 在 apache 配置文件中指定,通常在/etc/apacheor中找到/etc/httpd。Web 伺服器主伺服器通常以 root 使用者身份執行,然後將工作分派給工作人員,這些工作人員以配置的使用者和組的權限執行。

Apache 是一項服務,與其他服務一樣,它通常只有組織中的一小部分人才能訪問,通常通過sudo. 我不建議您更改此組以具有廣泛的訪問權限,或者成為很多人可以訪問的對象。

較小的公司可能沒有運營或 IT 部門來管理 Web 伺服器,因此在這種情況下,開發人員可能是系統管理員;大公司可能會把事情鎖得很緊。在前一種情況下,開發人員可能是某個組的一部分,developers並根據需要通過 獲得訪問權限sudo,例如查看日誌文件或調整伺服器配置。但這是一項系統管理任務,對使用者來說應該是非常有限的,對組來說是非常有限的。

在某些情況下,組(而不是使用者)具有讀取權限但沒有寫入權限可能是有意義的。在這種情況下,您可能希望通過相關服務創建一個特殊的組共享——例如,您可能擁有 Apache、MySQL 和 PHP,並且希望使用者能夠查看所有這些的日誌和配置。通用組的另一個案例是自動部署。

應該非常小心地控制寫訪問。 sudo,如果使用得當,它是一個很好的工具,可以讓使用者獲得對特定資源(如日誌)的有限訪問權限,或者重新啟動伺服器。

但我恭敬地不同意接受的答案——簡短的回答是否定的。在大多數情況下,服務應該具有非常有限的訪問權限的使用者和組,並且應該仔細考慮對權限的任何更改。對於 Web 伺服器和其他服務(如 FTP 或 SMTP)來說尤其如此,它們的埠直接暴露給 Internet。

引用自:https://serverfault.com/questions/758774