我无法在 Goole 或各种 Stack 论坛上找到令人满意的答案:
我注意到 /var/www(nginx 和 Apache 默认在此 chroot)下的文件大部分具有 root:daemon 或 root:bin 权限。roundcube 和我认为从官方软件包安装的其他 Web 应用程序都是如此。nginx 用户 www 似乎不属于 daemon 或 bin,因此文件需要为其他文件设置读取标志,以便 nginx 为它们提供服务。
所以问题是:我是否应该在自己的应用程序中效仿,只要文件在 chroot 环境中,就将其归 root:daemon 或 root:bin 所有?或者,我可以像在其他系统上通常做的那样,将它们设为 www:www 吗?
这是我在这里的第一个问题,所以希望它足够具体。
答案1
OpenBSD 的最新版本在其基础上包含了 Nginx。Apache 已经一去不复返了。因此,要正确回答您的问题,了解您使用的 OpenBSD 版本非常重要。如果您尚未使用 5.5,强烈建议您进行更新。
一般来说,你应该只更改需要写访问权限的目录和/或文件的权限,并且要小心谨慎。无论是否使用 chroot 环境,这样做都是为了在出现远程漏洞时保护你的服务器,以防止文件被更改(包括恶意软件或其他内容)。我建议你不要做“在其他系统上”之类的事情。虽然 openbsd 是符合 POSIX 标准的 UNIX,但它是不同,否则它就会和“其他系统”一样有漏洞。