可能重复:
我应该如何构建网络服务器的用户/组/权限?
我在网上看到过一些关于这个问题的答案,但我正在寻找一个明确的答案。我有一台新的带有 LAMP 的 Ubuntu 12.04 LTS 服务器。Apache 设置为以“www-data”运行,/var/www 设置为以“root”为所有者,以“root”为组。/var/www 的权限是“drwxr-xr-x”,我相信它在数字上等于 755。
我知道 /var/www 不应归“www-data”所有,因为这样错误/恶意代码就会大行其道。但是,我应该将其保留为 root:root(不方便)还是应该将其更改为 ubuntu:ubuntu,Ubuntu 为您预先配置的默认登录用户?权限是否应保留为 755?
我已经管理系统一段时间了,没有出现过大的安全问题,但我正在尝试真的认真对待安全问题,仔细检查一切,确保我的知识没有漏洞。
答案1
我们真的无法回答这个问题 - 这取决于您的环境。
这里主要担心的是,有人上传了 PHP 脚本,该脚本会执行恶意操作,并将其上传到他们可以浏览的目录中,然后通过浏览他们刚刚上传的脚本让您的 Web 服务器运行该代码。
您能得到的最佳答案是“一个有意义的用户,最好不是运行 Web 服务器的用户,除非您有充分的理由并已采取适当的步骤来确保安全。”