www-dataグループに自分自身を追加した後、LinuxホストにSSHでアクセスできないのはなぜですか?

www-dataグループに自分自身を追加した後、LinuxホストにSSHでアクセスできないのはなぜですか?

EC2 Linuxホスト(NGINXでホスト)にWebサイトを設定しました。ディレクトリ/var/www/htmlの所有者:グループなので、ファイルを使用せずにファイルを編集できるように、そのグループに自分自身を追加する必要があるとwww-data:www-data思いました。www-datasudo

/etc/groupのwww-dataグループに私を追加した後、ホストにログインできなくなります。www-dataグループに自分自身を追加するには、次のようにviを使用します。

sudo vi /etc/group
www-data:x:33:myusername

この時点でグループを見つけ、行www-dataの末尾に私のユーザー名を追加します。

(幸いにも)まだホストにSSHウィンドウが開いていたので、www-dataグループから自分自身を削除し、SSHを介してホストに戻ることができました。この動作が発生するかどうかを確認するために自分自身を追加し、再度ログインできるように自分自身を削除してみました。

ユーザーをwww-dataグループに追加すると、Linuxホストに(ssh経由で)ログインできないのはなぜですか?

答えを探す

www-dataは、UbuntuでWebサーバー(Apacheやnginxなど)が正常に実行されたときに使用するデフォルトのユーザーです。 Webサーバープロセスは、www-dataがアクセスできるすべてのファイルにアクセスできます。他には関係ありません。

したがって、間違った、古い、またはこれが起こる他の理由があります。

答え1

ホストにSELinuxやAppArmorなどの追加のセキュリティシステムが有効になっている場合、またはカスタムPAMルールなど、または非常に防御的な構成がある場合、これらのセキュリティルールは新しいセッションが/etc/ssh/sshd_configそのグループのメンバーであることを検出できますwww-data。通常、Webサーバーの子プロセスのみがこのグループのメンバーである必要があります。

Webサーバーのサブプロセスがシェルを実行しようとすると、ハッカー攻撃になる可能性があります。これらのプロセスは認証されていないインターネットからの潜在的に悪意のある要求を受け入れる必要があるため、以前に未知のコードの脆弱性が侵入者によって悪用される可能性があります。 。マルウェアを実行させ、プロセスを侵入者の管理下に置くことです。

侵入プロセスの明らかな次のステップは、ハイジャックされたプロセスが侵入者のためにシェルセッションを開始することです。したがって、www-data「強化された」Webサーバーには、グループメンバーがシェルセッションを持つのを防ぐセキュリティルールがある場合があります。 。

詳細を知らないと確かにわかりにくいですが、このようなセキュリティ機能によってブロックされることがあります。

関連情報