когда я должен использовать “apache:apache” или “nobody:nobody” на моих файлах веб-сервера?
При установке iptables с политикой по умолчанию ОТБРАСЫВАНИЯ для ВХОДНОЙ цепочки затем, Вы не должны волноваться так же о портах прослушивания, потому что они будут заблокированы iptables. Сервер Ubuntu идет с удобным для пользователя интерфейсом для iptables, если Вы плохо знакомы с iptables.
Из Вашего сообщения это звучит мне как Вы, могло бы быть более довольно другим дистрибутивом Linux, таким как CentOS. Процесс установки по умолчанию для CentOS позволит Вам устанавливать различные метапакеты, и не выбирая ни один, что Вы могли бы быть более довольны своей основной установкой.
Кроме того, я думаю Вы, вопрос мог бы иметь немного более ясное при замене 'сервисом' или 'демоном' для слова 'сервер', когда Вы имеете в виду что-то, что работает на сервере. Люди склонны использовать 'сервер' для обращения к физическому полю или VM. Хотя я предполагаю не технически неправильный.
Несколько приложений используют пользователя никто в качестве значения по умолчанию. Например, Вы, вероятно, никогда действительно не хотите, говорят, что апачский сервис для перезаписи файлов, которые принадлежат для привязки. Наличие на сервисную учетную запись имеет тенденцию быть очень хорошей идеей.
При становлении апачским для выполнения, поскольку nobody:nobody довольно легок, просто обновите User и Group.настройки. Но поскольку я упомянул выше, я действительно не рекомендую что конкретный пользователь/группа. Совершенно возможно, что можно испытать желание добавить сервис к системе в некоторое время в будущем, которое также не работает как никто, и Вы забудете, что дали доступ для записи в файловой системе пользователю никто.
Что касается того, почему необходимо было сделать это для каталога загрузки. Вы действительно не должны должны быть изменять владельца каталога для загрузок. Я только изменил бы группу и затем установил бы полномочия к 2 775. Конечно, если настраивающий систему, где многие различные пользователи совместно используют тот же веб-сервер, получающий настройки полномочий для лучшей безопасности, можно быть намного более сложными
Я думаю, что основной момент то, что, если бы веб-сервер не может записать в файлы через владельца og групповой доступ, то они должны были бы быть записываемым миром.
Теперь, файл или каталог, принадлежавший апачу или никто не звучит предпочтительным для файла, перезаписываемого никем, включая другие сервисы.
Я не вижу огромных последствий безопасности путем изменения эффективного пользователя для апача "никому", если у Вас нет других сервисов, также работающих как тот пользователь. С другой стороны, я действительно не вижу серьезных оснований для того, почему это нельзя только оставить как "апач".
-
1Причина того, чтобы выполнить Apache как пользователя кроме " nobody" это, если кто-то ставит под угрозу Apache (через плохой Сценарий PHP, например) они застревают в учетной записи пользователя that' s только используемый для Apache и ничего иного. Другие сервисы используют " nobody" учетная запись. – thomasrutter 11 May 2010 в 08:59