EC2 Linuxホスト(NGINXでホスト)にWebサイトを設定しました。ディレクトリ/var/www/html
の所有者:グループなので、ファイルを使用せずにファイルを編集できるように、そのグループに自分自身を追加する必要があるとwww-data:www-data
思いました。www-data
sudo
/etc/groupのwww-dataグループに私を追加した後、ホストにログインできなくなります。www-data
グループに自分自身を追加するには、次のようにviを使用します。
sudo vi /etc/group
www-data:x:33:myusername
この時点でグループを見つけ、行www-data
の末尾に私のユーザー名を追加します。
(幸いにも)まだホストにSSHウィンドウが開いていたので、www-data
グループから自分自身を削除し、SSHを介してホストに戻ることができました。この動作が発生するかどうかを確認するために自分自身を追加し、再度ログインできるように自分自身を削除してみました。
ユーザーをwww-data
グループに追加すると、Linuxホストに(ssh経由で)ログインできないのはなぜですか?
答えを探す
- 以下を使用してGoogleを検索https://www.google.com/search?q=目的+of+www-data+group+in+linux提案する
www-dataは、UbuntuでWebサーバー(Apacheやnginxなど)が正常に実行されたときに使用するデフォルトのユーザーです。 Webサーバープロセスは、www-dataがアクセスできるすべてのファイルにアクセスできます。他には関係ありません。
したがって、間違った、古い、またはこれが起こる他の理由があります。
答え1
ホストにSELinuxやAppArmorなどの追加のセキュリティシステムが有効になっている場合、またはカスタムPAMルールなど、または非常に防御的な構成がある場合、これらのセキュリティルールは新しいセッションが/etc/ssh/sshd_config
そのグループのメンバーであることを検出できますwww-data
。通常、Webサーバーの子プロセスのみがこのグループのメンバーである必要があります。
Webサーバーのサブプロセスがシェルを実行しようとすると、ハッカー攻撃になる可能性があります。これらのプロセスは認証されていないインターネットからの潜在的に悪意のある要求を受け入れる必要があるため、以前に未知のコードの脆弱性が侵入者によって悪用される可能性があります。 。マルウェアを実行させ、プロセスを侵入者の管理下に置くことです。
侵入プロセスの明らかな次のステップは、ハイジャックされたプロセスが侵入者のためにシェルセッションを開始することです。したがって、www-data
「強化された」Webサーバーには、グループメンバーがシェルセッションを持つのを防ぐセキュリティルールがある場合があります。 。
詳細を知らないと確かにわかりにくいですが、このようなセキュリティ機能によってブロックされることがあります。