許可は、Linuxでしばらく混乱していたものです。そのため、NGinxとPHP-FPMの両方のインスタンスがユーザーとグループで実行されています。
www-data
これは標準ですか?ファイルのアップロードに出くわすとトラブルに遭遇します。
例では、ファイルはユーザーとグループwww-dataの両方でアップロードされます。現在、Webアプリケーションで許可(0440)を設定しているため、通常のアカウントでsshを介してログインしてこれらのファイルをダウンロードすることはできません。これは変更できません。
グループを維持するためにnginxとphpインスタンスを変更することを考えていましたが、それらをユーザー名で実行するように変更しました。
ここで権限を処理する正しい方法は何ですか?ありがとうございました。
回答:
これがどのように機能するかです:FTP / SSHを介してログインし、ファイルをアップロードすると、それらはあなたの許可で作成されます。おそらくあなたのウェブルートは誰でも書き込み可能(0777)であり、安全ではありません-システム内のすべてのユーザーがそこに何かを書き込むことができます。PHPはさまざまなユーザー権限で実行され(nginx構成ではなく、PHP-FPM構成で指定されます)、ディレクトリは誰でも書き込み可能であるため、PHPユーザー(www-data)もそこに書き込むことができます。ただし、このファイルの所有者はアカウントではなくwww-dataです。これらは、ファイルシステムのアクセス許可レベルの2つの異なるアカウントです。
webrootディレクトリを所有し、FTP / SSHアップロードに使用され、phpを実行する、最小限の特権を持つ専用ユーザーを作成することをお勧めします。PHP-FPMの設定を変更する必要があります。workerセクションにはユーザーエントリとNGINXの設定があり、ウェブサイトのファイルを非世界的に読みやすく、より安全にすることができます。
サーバーのセキュリティが侵害される可能性のある特権(sudo機能、書き込み特権はサイト外docroot)ユーザーでPHPを実行しないでください。
www-data専用ユーザーを作成する代わりに、FTPユーザーをグループに追加するだけでいいですか?@ThePixelDeveloperの問題を解決しますか?ありがとう。
www-dataユーザー&グループはかなり標準的なものです。他のシステムではwwwまたはwebかもしれませんが、考え方は同じです:専用アカウントでwebサービスを実行します。したがって、Webサーバーが侵害された場合、攻撃者はこのアカウントに付与されたファイルにのみアクセスできます。
ユーザーがWebサービスを管理する必要がある場合は、ユーザーを関連するグループ(www-data)に追加するか、関連するユーザーにsu(またはsudo)を許可する(まだwww-data)必要があります。
read&writeいくつかのフォルダに、私は彼に適切な権限を与える必要が。ほとんどの場合、これはWebルートフォルダー/var/www/htmlと755アクセス許可です。私は正しいですか?ありがとう!