Apache 每使用者權限
好的,所以我查看了一些資源,每個Google,這裡的問題似乎是我需要的。
我來自 Windows IIS 背景,所以也許我的思維過程有缺陷,而 Apache 做事不同。
基本上在 IIS 上,建議為每個 Web 使用者甚至網站設置一個專用的應用程序池,並將他們的文件/文件夾儲存在自己的路徑下並使用該專用應用程序池。
我正在設置 Apache 用於測試和學習目的,並且遇到了隔離使用者的情況。Apache 是否需要按使用者分叉,或者“www-data”是否足夠?
看到“單獨的”網路目錄位於單獨的“主”目錄中,我認為這是安全的嗎?我的理解是,如果您無法訪問路徑中某處的目錄,則無法訪問其後面的任何內容-這是正確的嗎?
最後,我注意到,這也是我問這個問題的原因,Wordpress 在製作文件或記憶體文件時,將它們創建為使用者“www-data”和組“www-data”。這就是促使我問的原因,因為我現在假設“使用者”現在無權訪問這些文件?
首先,執行 apache 的使用者需要能夠讀取文件以便將它們顯示給客戶端。當您使用使用者目錄時,這通常意味著授予使用者自己的寫訪問權限,以及專門對組“www-data”(或執行 apache 的使用者所屬的任何組)或所有使用者的讀取訪問權限伺服器。為了不顯示使用者的 public_html 目錄層次結構之外的任何文件,您將使用 apache 配置文件只允許 public_html 及其子目錄用於使用者網站。
其次,由於您想確保 apache 使用者無法編輯任何內容(以防伺服器被破解,或者有人編寫了錯誤的腳本並將其作為 cgi 執行,或其他東西),您希望將其作為對使用者目錄沒有寫入權限的使用者。該使用者仍然需要能夠寫入日誌和臨時數據,並且它應該有自己的目錄。
如果您要為每個使用者執行一個 apache 實例,並讓該 apache 歸使用者所有,那麼您將授予 apache 寫入使用者所有目錄的權限。這通常根本不被認為是一個好主意。