/ Var / www में काम करते समय sudo के उपयोग से कैसे बचें?


172

मैं sudoहर उस समय का उपयोग करना बंद कर देना चाहता हूं जिसमें मैं काम करता हूं /var/www। मैं उसे कैसे कर सकता हूँ? मैं बस अपनी सभी साइटों को इस निर्देशिका में रखना चाहता हूं और बहुत अधिक दर्द के बिना उनके साथ काम करना चाहता हूं।


3
क्या आप अपाचे का उपयोग कर रहे हैं?
रिनविंड

1
यहां पढ़ने के बाद, यह अनुमति भाग में भी मदद कर सकता है: askubuntu.com/questions/20105/…
लुइस अल्वाराडो

2
सुरक्षा प्राप्त करने का दूसरा तरीका यह है कि आप इसका उपयोग जारी रखें sudo -u www-dataलेकिन अपने आप sudoersको केवल sudo www-data(और सुडोल रूट में) सक्षम होने के लिए फ़ाइल में सीमित रखें । देखें serverfault.com/questions/295429/...
साइमन वुडसाइड

जवाबों:


249

यहां ज्यादातर जवाब सुरक्षा को ध्यान में रखकर नहीं लिखे गए हैं। यह महसूस करना अच्छा है कि sudoहर बार दौड़ना बहुत बुद्धिमानी नहीं है। यदि आप एक टाइपो बनाते हैं (उदाहरण के लिए एक गलत स्थान पर एकल सफेद स्थान: sudo rm -rf / var/www/dir निष्पादित न करें! ), तो आप अपने सिस्टम को कचरा कर सकते हैं।

नोट: Apache 2.4.7 / Ubuntu 14.04 के साथ शुरू, तदनुसार इस उत्तर में आदेशों /var/wwwको /var/www/htmlसमायोजित करने के लिए ले जाया गया है।

देख:

बुरे विचार:

  • chmod 777(sagarchalise) - यह आपके सिस्टम के उपयोग के साथ किसी को भी निर्देशिका और फाइलों में लिख सकते हैं और इस तरह घुसपैठिया के तहत किसी भी कोड को निष्पादित करने के लिए अनुमति देता है की अनुमति देता है www-dataउपयोगकर्ता
  • chgrp -R www-data $HOME(सिल) - यह www-dataहोम डायरेक्टरी में किसी भी फाइल को पढ़ने या लिखने की अनुमति देता है। यह कम से कम लिवर विशेषाधिकार नियम को ध्यान में नहीं रख रहा है
  • chown -R $USER:$USER /var/www(kv1dr) - जब तक कि दुनिया ने अनुमतियों को नहीं पढ़ा है /var/www, तब तक चलने वाला वेबसर्वर www-dataफाइलों को नहीं पढ़ सकेगा। यदि फ़ाइल सार्वजनिक-सुलभ सादे HTML दस्तावेज़ है, तो यह एक समस्या नहीं हो सकती है यदि दुनिया फ़ाइल को पढ़ सकती है। लेकिन अगर फ़ाइल एक PHP फ़ाइल है जिसमें पासवर्ड है, तो यह है।

नोट : नीचे दिए गए समाधानों में, मैंने लिखित www-dataविशेषाधिकार दिए हैं। हालाँकि, /usr/share/doc/base-passwd/users-and-groups.txt.gzबताता है:

www-डेटा

कुछ वेब सर्वर www-data के रूप में चलते हैं। वेब सामग्री इस उपयोगकर्ता के स्वामित्व में नहीं होनी चाहिए, या एक समझौता किया हुआ वेब सर्वर एक वेब साइट को फिर से लिखने में सक्षम होगा। वेब सर्वर द्वारा लिखित डेटा www-data के स्वामित्व में होगा।

जहां संभव हो, समूह को लेखन अनुमति दें www-datawww-dataकेवल फ़ाइलों को पढ़ने में सक्षम होने की आवश्यकता है ताकि वेबसर्वर इसे सेवा दे सके। एकमात्र ऐसा मामला जहां www-dataलेखन अनुमतियों की आवश्यकता होती है, वह है निर्देशिकाओं के लिए अपलोड करना और अन्य स्थानों पर जिन्हें लिखा जाना चाहिए।

समाधान 1

अपने आप को www-dataसमूह में जोड़ें और /var/wwwनिर्देशिका पर सेटगिड बिट सेट करें जैसे कि सभी नई बनाई गई फाइलें इस समूह को भी विरासत में मिलती हैं ।

sudo gpasswd -a "$USER" www-data

पहले बनाई गई फ़ाइलों को ठीक करें (मान लें कि आप केवल उपयोगकर्ता हैं /var/www):

sudo chown -R "$USER":www-data /var/www
find /var/www -type f -exec chmod 0660 {} \;
sudo find /var/www -type d -exec chmod 2770 {} \;

(यहां तक ​​कि सुरक्षित: उपयोग 640या 2750मैन्युअल रूप से chmod g+w file-or-dirजो वेबसर्वर द्वारा लिखने योग्य होना चाहिए)

समाधान २

अपने घर निर्देशिका के लिए प्रत्येक परियोजना के लिए एक सिम्लिंक बनाएं। कहते हैं कि आपकी परियोजना यहां स्थित है ~/projects/fooऔर आप चाहते हैं कि यह स्थित हो /var/www/foo, चलाएं:

sudo ln -sT ~/projects/foo /var/www/foo

यदि आपके होम डायरेक्टरी में otherसुरक्षा कारणों के लिए सेट (डिसेंड) नहीं है , तो इसके समूह को बदल दें www-data, लेकिन निष्पादित बिट को केवल सेट करें (कोई पढ़ें / लिखें नहीं)। ~/projectsफ़ोल्डर के लिए भी ऐसा ही करें क्योंकि इसमें www के अलावा अन्य प्रोजेक्ट भी हो सकते हैं। ( sudoयदि आपको पहले अपने उपयोगकर्ता को www-dataसमूह में जोड़ा है तो आपको इसकी आवश्यकता नहीं है ।)

sudo chgrp www-data ~ ~/projects
chmod 710 ~ ~/projects

करने के लिए समूह सेट www-dataपर ~/projects/fooऔर वेब सर्वर पढ़ सकते हैं और फ़ाइलों और फ़ाइलों + निर्देशिकाओं को लिखने और निर्देशिका में उतर करने की अनुमति:

sudo chgrp www-data ~/projects/foo
find ~/projects/foo -type f -exec chmod 660 {} \;
find ~/projects/foo -type d -exec chmod 2770 {} \;

यहां तक ​​कि सुरक्षित: 640 और 2750 का डिफ़ॉल्ट रूप से और मैन्युअल रूप से chmod फ़ाइलों और निर्देशिकाओं का उपयोग करें जो वेबसर्वर उपयोगकर्ता द्वारा लिखने योग्य होने की आवश्यकता है। सेटगिट बिट को केवल तभी जोड़ा जाना चाहिए जब आप चाहते हैं ~/projects/fooकि समूह द्वारा हर नई बनाई गई फ़ाइल सुलभ हो।

अब से, आप अपनी साइट पर पहुँच सकते हैं http://localhost/fooऔर अपनी परियोजना फ़ाइलों को संपादित कर सकते हैं ~/projects/foo

यह सभी देखें


आप टर्मिनल में www-session के बारे में क्या सोचते हैं sudo su www-data? एक अलग रंग के संकेत के साथ संयुक्त, यह और अधिक स्पष्ट करने के लिए कि यह एक अलग उपयोगकर्ता का खोल है, और एक नीति हमेशा इसी xterm को रखने के लिए - उदाहरण के लिए - वर्चुअल डेस्कटॉप 4, ताकि आप इसकी आदत डालें, भ्रम से बचें?
उपयोगकर्ता अज्ञात

@user अज्ञात: यदि आप टर्मिनल में सब कुछ ठीक करते हैं जैसा कि आप उपयोगकर्ता-खातों के बीच एक स्पष्ट अलगाव है। लेकिन अगर आप GUI प्रोग्राम का उपयोग करते हैं तो यह काम नहीं करेगा gedit। मैंने कभी शोध नहीं किया है कि वर्तमान सत्र में किसी अन्य उपयोगकर्ता के तहत GUI प्रोग्राम चलाना सुरक्षित है या नहीं, यह एक दिलचस्प सवाल होगा।
लीकेनस्टीन

1
@imaginaryRobots: यदि मैं हर प्रश्न के लिए अलग-अलग समाधान पोस्ट करने जा रहा था, तो आस्कुबंटु तीन पंक्तियों के उत्तरों से भरा होगा। जब तक आप इसे विभाजित करने के लिए मुझे मना नहीं सकते मैं इसे वैसे ही रखूँगा।
लेकेनस्टाइन

1
@berbt setfacl -d u::rwX,g::rX /var/wwwका मज़ेदार प्रभाव है कि डिफॉल्ट मोड 0750 (या 0640) हो जाता है, भले ही ऑमस्क शून्य हो। यदि आप विश्व-योग्य फ़ाइलों से बचना चाहते हैं, तो यह एक अच्छा विचार हो सकता है, लेकिन यदि /var/wwwयह दुनिया के लिए पहले से ही दुर्गम है, तो इसकी आवश्यकता नहीं है।
लेकेन्स्टाइन

1
वहाँ समाधान 1 में प्रक्रिया inverting के साथ एक मुद्दा है? उसके द्वारा मेरा मतलब है, /var/www/app01स्वामित्व है app01:app01, और फिर www-data उपयोगकर्ता को app01 समूह में जोड़ा जाता है ? या कि कुछ टूट जाएगा?
जैक_हु

9

अपने वेब साइटों को / var / www में संग्रहीत करने के बजाय मैं वहां उन साइटों के लिए लिंक देता हूं जो मेरे होम फ़ोल्डर में स्थित हैं। मैं अपनी साइटों पर पृष्ठों को स्वतंत्र रूप से संपादित या जोड़ सकता हूं। जब मैं परिवर्तनों से खुश होता हूं तो मैं एक होस्टिंग कंपनी में एफ़टीपी करता हूं जहां मेरा डोमेन नाम लिंक होता है।


यह एक समझदार विचार है।
थोमसट्रेटर

7

यदि आप इसके समूह द्वारा / var / www को लिखने योग्य बनाते हैं और अपने आप को समूह में जोड़ लेते हैं, तो आपको sudo का उपयोग नहीं करना पड़ेगा जबकि अभी भी काफी सुरक्षित है। इसे इस्तेमाल करे:

sudo adduser <username> www-data
sudo chown -R www-data:www-data /var/www
sudo chmod -R g+rw /var/www

आपको तब /var/www/बिना किसी परेशानी के फ़ाइलों को संपादित करने में सक्षम होना चाहिए ।

पहली पंक्ति आपको www-dataसमूह में जोड़ती है , दूसरी पंक्ति किसी भी फाइल को गड़बड़ स्वामित्व के साथ साफ करती है, और तीसरी इसे बनाती है ताकि सभी उपयोगकर्ता जो www-dataसमूह के सदस्य हैं वे सभी फाइलों को पढ़ और लिख सकें /var/www


4
यह सुरक्षा के लिए एक बहुत बुरा विचार है और अन्य उत्तरों में बताए गए कारणों के लिए इस सलाह का पालन नहीं किया जाना चाहिए। www-data एक अप्रकाशित समूह माना जाता है , बिना लिखित पहुंच के।
थोमसट्रेटर

5

क्या न करें

  • 777 (विश्व-लेखन) के लिए फ़ाइल अनुमतियां सेट न करें

    यह एक महत्वपूर्ण सुरक्षा दोष है, खासकर यदि आप सर्वर-साइड स्क्रिप्टिंग जैसे PHP को सक्षम करते हैं। अनुचित प्रक्रियाएं उन फ़ाइलों को लिखने में सक्षम नहीं होनी चाहिए जो वेबसाइट को प्रभावित करती हैं या, सर्वर-साइड स्क्रिप्टिंग के उपयोग के मामले में, मनमाने कोड को निष्पादित करती हैं।

  • Www-data समूह के सदस्य के रूप में खुद को न जोड़ें और इसे लिखने की अनुमति दें

    उस समूह का उद्देश्य यह है कि यह एक अनपेक्षित समूह है जो सर्वर प्रक्रियाओं के रूप में चलता है। उन्हें केवल वेबसाइट फ़ाइलों तक पहुंच को पढ़ना चाहिए जहां संभव हो, ऊपर के समान कारणों के लिए।

  • अपाचे प्रक्रियाओं की अनुमति न बदलें

    अपाचे बच्चे की प्रक्रिया www-dataडिफ़ॉल्ट रूप से उपयोगकर्ता और समूह के रूप में चलती है , और इसे परिवर्तित नहीं किया जाना चाहिए। यह उन्हें फाइल सिस्टम के लिए कोई लिखित अनुमति नहीं देने का एक तरीका है।

    कुछ परिस्थितियों में आप चाहते हैं कि आपकी सर्वर-साइड स्क्रिप्ट फ़ाइलों को लिखने में सक्षम हो, जिस स्थिति में केवल उन फ़ाइलों को लिखने योग्य बनाया जाना चाहिए www-dataऔर सुरक्षा सुनिश्चित करने के लिए देखभाल करने की आवश्यकता है।

करने योग्य

  • फ़ाइलों को स्वयं के स्वामित्व में सेट करें

    यदि आप वेबसाइट पर कुछ फ़ाइलों को संशोधित करने के लिए केवल एक या सामान्य एक हैं, तो यह उन फ़ाइलों के स्वामित्व को लेने के लिए पूरी तरह से समझ में आता है। उनके मालिक को सेट करें <your username>

    आपको इसके लिए सर्वर अनुमतियों को संशोधित करने की आवश्यकता नहीं है, क्योंकि सर्वर को आपके द्वारा स्वामित्व वाली फाइलों के स्वामित्व में होने के बाद भी केवल पढ़ने के लिए एक्सेस मिलती रहेगी।

  • फ़ाइलों को रखने के लिए एक समझदार जगह चुनें ( DocumentRoot का उपयोग करके )

    यदि /var/wwwकोई मतलब नहीं है, तो आप उन्हें कहीं और रखने के लिए स्वागत करते हैं। यदि वे आपके स्वयं के विकास या परीक्षण के लिए विशिष्ट हैं, तो आप उन्हें अपने घर निर्देशिका में रख सकते हैं। या आप कुछ निर्देशिकाओं में सेट कर सकते हैं /srv

  • यदि आप ग्रुप राइट एक्सेस देना चाहते हैं , तो इस उद्देश्य के लिए एक नया समूह बनाएं

    सिस्टम समूह का फिर से उपयोग न करें, क्योंकि ये आम तौर पर सुरक्षा कारणों से उनके पास वर्तमान में उपयोग करने के लिए डिज़ाइन किए जाते हैं, और नहीं।


5

यह सरल है। आपको न तो अपाचे 'यूजरडायर' (अनुशंसित नहीं) और न ही 'www-data' समूहों (फेडोरा पर मामले में अपाचे समूह) के साथ खिलवाड़ करने की आवश्यकता है

बस अपनी परियोजना निर्देशिका अंदर बनाएँ /var/www/html

cd /var/www/html
sudo mkdir my_project

तो बस अपने उपयोगकर्ता के लिए परियोजना निर्देशिका चाउ।

sudo chown your_username my_project

अब आप अपने प्रोजेक्ट फ़ोल्डर पर किसी भी संपादक, अपनी पसंद के आईडीई के साथ एक नियमित उपयोगकर्ता के रूप में काम करना शुरू कर सकते हैं। कोई और अधिक sudos :)


1
+1 यह वही है जो मैं करता हूं: स्वामित्व को /var/wwwस्वयं के नहीं , बल्कि उपनिर्देशिकाओं के अनुसार बदलें ।
fkraiem

2

स्वामी की अनुमति देने के लिए www पर chmod / var में, और सुनिश्चित करें कि आप इसे स्वयं बनाना चाहते हैं। शायद एक बेवकूफ विचार है, लेकिन यह निश्चित रूप से काम करेगा।


2
बेवकूफ विचार नहीं है, यह एक समझदार विचार सुरक्षा-वार है। नोट: आपको /var, /var/wwwऔर / या इसकी सामग्री की अनुमतियों को बदलने (और नहीं करना चाहिए) की आवश्यकता नहीं है ।
थॉमस

1

आप किसी टर्मिनल में www-session शुरू कर सकते हैं

sudo su www-data

एक अलग रंग के संकेत के साथ संयुक्त *, यह और अधिक स्पष्ट करने के लिए कि यह एक अलग उपयोगकर्ता का खोल है, और एक नीति हमेशा इसी xterm (और संपादक और ऐसे) को डालने के लिए - उदाहरण के लिए - आभासी डेस्कटॉप 4, ताकि आपको इसकी आदत है, भ्रम से बचने के लिए।

*) एक अलग चरित्र के साथ एक अलग रंग का संकेत के लिए, इस तरह एक फ़ाइल / आदि / शीघ्र बनाएँ:

# PROMPTING
#       When  executing  interactively, bash displays the primary prompt PS1 when it is ready to read a command, and the sec-
#       ondary prompt PS2 when it needs more input to complete a command.  Bash allows these prompt strings to be  customized
#       by inserting a number of backslash-escaped special characters that are decoded as follows:
#              \a     an ASCII bell character (07)
#              \d     the date in "Weekday Month Date" format (e.g., "Tue May 26")
#              \D{format}
#                     the  format is passed to strftime(3) and the result is inserted into the prompt string; an empty format
#                     results in a locale-specific time representation.  The braces are required
#              \e     an ASCII escape character (033)
#              \h     the hostname up to the first `.'
#              \H     the hostname
#              \j     the number of jobs currently managed by the shell
#              \l     the basename of the shell's terminal device name
#              \n     newline
#              \r     carriage return
#              \s     the name of the shell, the basename of $0 (the portion following the final slash)
#              \t     the current time in 24-hour HH:MM:SS format
#              \T     the current time in 12-hour HH:MM:SS format
#              \@     the current time in 12-hour am/pm format
#              \A     the current time in 24-hour HH:MM format
#              \u     the username of the current user
#              \v     the version of bash (e.g., 2.00)
#              \V     the release of bash, version + patchelvel (e.g., 2.00.0)
#              \w     the current working directory
#              \W     the basename of the current working directory
#              \!     the history number of this command
#              \#     the command number of this command
#              \$     if the effective UID is 0, a #, otherwise a $
#              \nnn   the character corresponding to the octal number nnn
#              \\     a backslash
#              \[     begin a sequence of non-printing characters, which could be used to embed a terminal  control  sequence
#                     into the prompt
#              \]     end a sequence of non-printing characters
#
#       The  command  number and the history number are usually different: the history number of a command is its position in
#       the history list, which may include commands restored from the history file (see HISTORY below),  while  the  command
#       number  is  the  position in the sequence of commands executed during the current shell session.  After the string is
#
# colors:
# \[...\]   wird benötigt, damit die shell weiß, daß hier kein printable output ist, und die Umbrüche richtig plaziert.
#
# ANSI COLORS
CRE="\[
[K\]"
NORMAL="\[[0;39m\]"
# RED: Failure or error message
RED="\[[1;31m\]"
# GREEN: Success message
GREEN="\[[1;32m\]"
# YELLOW: Descriptions
YELLOW="\[[1;33m\]"
# BLUE: System messages
BLUE="\[[1;34m\]"
# MAGENTA: Found devices or drivers
MAGENTA="\[[1;35m\]"
# CYAN: Questions
CYAN="\[[1;36m\]"
# BOLD WHITE: Hint
WHITE="\[[1;37m\]"
#
# default:
# postgres, oracle, www-data
#
# PS1=$BLUE"machine]->"$NORMAL\\w"$BLUE ø $NORMAL"
PS1=$BLUE"machine]:"$NORMAL\\w"$BLUE > $NORMAL"
#
# root, stefan:
#
case "$UID" in
    '0')
        PS1=$RED"machine:"$NORMAL\\w"$RED # $NORMAL"
    ;;
    '1000')
    PS1=$GREEN"machine:"$BLUE\\w$YELLOW" > "$NORMAL
    ;;
#    default)
#    ;;
esac

और /etc/bash.bashrcउदाहरण के लिए इसे स्रोत से ।

भेद करने में मदद करने के लिए अतिरिक्त उपकरण के रूप में, आप हमेशा अपनी फ़ाइलों को एक उपनाम 'संपादित करें' या एक सिमलिंक के साथ संपादित कर सकते हैं, जो इंगित करता है, आपकी पहचान (टेलर / www-डेटा) पर निर्भर करता है या तो गेडिट या माउसपैड, वीआईएम या रिको। या आप अलग-अलग संपादक प्रोफाइल का उपयोग कर सकते हैं, कम से कम गेडिट में आप उदाहरण के लिए सफेद जमीन पर काले पाठ या सफेद पाठ पर अपनी प्राथमिकताएं निर्धारित कर सकते हैं।

मेरे पास केवल रूट के रूप में काम करने के लिए ऐसी नीति है, इसलिए मुझे यकीन नहीं है कि यह www-data के साथ काम करने के लिए कितना अच्छा होगा। Ssh- सत्रों के साथ संयुक्त मेजबान के लिए, जिनके अपने संकेत हैं, उन्होंने मुझे कभी-कभी गलत होने से नहीं रोका, लेकिन अगर ऐसा होता है, तो मुझे तेजी से पता चलता है कि क्या गलत है, और यह शायद ही कभी होता है।

नोट: प्रॉम्प्ट-स्क्रिप्ट आंशिक रूप से बैश के मैनपेज की एक प्रति है।


यह काम करेगा, और (यदि सावधानी से उपयोग किया जाता है) सुरक्षा को नकारात्मक रूप से प्रभावित करेगा, लेकिन सबसे सीधा समाधान नहीं हो सकता है। हालांकि यह कुछ लोगों के लिए एक वैध समाधान है।
थॉमसनाटर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.