www-dataはUbuntu Webサーバーのルートファイルを制御できますか?

www-dataはUbuntu Webサーバーのルートファイルを制御できますか?

Webサーバーの所有権、ディレクトリ、およびファイル権限を設定する方法に関する多数の記事を読みました。

ルートを使うと聞きました。ルートを使用せずにwww-dataを使用してください。これを使用しないでください。各ウェブサイトごとに異なるユーザーを使用してください。やだ、やだ、やだ。

www-dataの代わりにルートを使用することにしました。私は危険を知っています。私のIPでのみシェルアクセスを許可して制限していて、パスワードを復号化するのに長い時間がかかりました。私はもっ​​とやってきましたが、ここでは問題ではありません。

現在ツリー構造を見せたいです。私のすべてのホスティングドメインは同様の形式を使用しています。後で質問しますが、見てみましょう。

├── [drwxr-xr-x www-data www-data]  www.website.com
│   ├── [drwxr-xr-x root     root    ]  css
│   │   ├── [drwxr-xr-x root     root    ]  font

ドメインの下のすべてのエントリはルートの所有です。私を混乱させるのはwww-dataフォルダの所有権です。

質問:ドメイン行権限を使用して、誰かがその行の下にあるファイルのルート所有権を上書きできますか?ドメインラインをルートルートに設定する必要がありますか?

答え1

を使用しないでrootくださいwww-data

これが正しいことです。特権ユーザーが公開Webページを所有できるようにするのは危険です。

これを使用しないでください。各ウェブサイトごとに異なるユーザーを使用してください。

この提案は聞いたことがありません。

私のIPでのみシェルアクセスを許可して制限しました。

root攻撃者がWebコンテンツからシェルを取り出すことができる場合(所有権のために無制限のアクセス権を持つことになる)、これは役に立ちません。

復号化に時間がかかるパスワードがあります。

同じ。それはまったく役に立ちません。また、ルートシェルアクセスを完全に無効にし、sudoでsudoする権限のないユーザーに対して公開鍵認証を設定する必要がありますroot

rootドメインライン権限を使用すると、誰かがその行の下にあるファイルの所有権を無視できますか?

「オーバーライド」を定義する必要がありますが、ドメインディレクトリとすべてのサブディレクトリには「その他」の読み取りおよび実行権限があるため、すべてのユーザーがこれらのディレクトリを参照できるので関連性はありません。

ドメイン行をに設定する必要がありますかroot root

www-dataいいえ、Webroot内の他のすべてのファイルの所有権をWebサーバーのコンテンツに対する権限のないデフォルトユーザーに設定することをお勧めします。

関連情報