我创建了一个名为lighttpd的用户和一个名为lighttpd的组
现在我必须用这些用户:组启动轻量级服务器... 好的
现在,我添加了一个网站(vhost)来使用 lighy 运行,它运行良好,但我对权限有疑问。对于 vhost,我创建了另一个用户,然后将其添加到 lighttpd 组。
我的网站:lighttpd
现在,如果我创建其他虚拟主机,我将创建新用户,但如果他们具有相同的组,则每个域都可以查看其他虚拟主机内的文件,那么我该怎么做才能阻止这种情况?
因为如果我更改每个 vhost 上的权限以仅允许所有者(600)查看文件……我想我会遇到 lighttpd 的问题(它无法读取页面)。
如果我使用 640,其他 vshots 所有者也可以查看所有文件,因为他们属于同一组。
您能告诉我设置权限的最佳方式吗?
答案1
这似乎有效:
- 为每个站点创建单独的用户/组,例如 site1:site1
- 将每个站点 chown 给该用户和组
- 将目录权限设置为 rwxr-x---,并将文件权限设置为 rw-r-----
- 例如在 www-data:www-data 用户/组下运行 lighttpd
- 将您的网站组添加为 www-data 用户的补充组
最后一步允许 www-data 用户(以及 lighttpd 进程)访问属于您网站的文件。另一方面,用户(例如 site1)无法访问其他网站 - 这就是您想要的,对吧?
请记住,用户仍然可以使用 php 脚本等访问属于其他站点的文件 - 因为 lighttpd 可以访问任何 vhost 文件,所以 lighttpd 生成的 FastCGI php 脚本也可以。