將 Apache 添加到開發人員組(Web 權限)
在具有需要寫入訪問權限的應用程序 (Wordpress) 的私有伺服器上,將 Apache 的 Web 使用者 (www-data) 添加到擁有 /var/www 的“開發人員”組或使用 fastcgi / suphp 來提升權限是否更好?
注意:“開發人員”組中的唯一使用者是管理員。如果使用組解決方案(如上),則文件夾的權限需要為 775,文件的權限需要為 664。
你不想給 apache 更多的特權。找出 apache 需要寫入訪問權限的最小目錄集,授予它對這些目錄的訪問權限,然後嘗試限制 apache 願意對這些目錄執行的操作。如果它是您希望 wordpress 能夠向其中添加圖像的圖像目錄,則 apache 伺服器不應該願意從該目錄執行 php 腳本,只提供靜態圖像。這是您要防止的一件事:不法分子以某種方式訪問了 wordpress 登錄名,他們上傳了應該是圖像但實際上是 php 腳本的內容。你不希望他們能夠然後去http://yoursite.com/wp-images/bad.gif並讓 apache 實際上將其作為 php 腳本執行(因為現在他們可以將任意程式碼上傳到您的伺服器並讓您的伺服器執行該程式碼)。
如果您正在嘗試決定是否應將開發人員添加到 www-data 組或其他方式,請以這種方式考慮。開發人員是您信任在您的網站上執行程式碼的人。www-data 組是授予那些想辦法利用 wordpress/apache/其他任何東西中的漏洞的人的特權。你不想給這些人你給一個值得信賴的開發者的訪問權限。您應該毫無問題地向您信任的開發人員授予您願意授予已破壞您的 wordpress 安裝的人的權利。因此,將開發人員添加到 www-data 但不要將 www-data 添加到開發人員。