我在Ubuntu 9.04 Server上安装了LAMP,默认安装有root:root拥有/ var / www文件夹.当另一个服务Hudson无法写入该目录时,我发现了这一点.我希望我的哈德森用户有权写入/ var / www.那么,如果www-data用户是/ var / www的所有者,而hudson应该是www-data组的成员,或者我应该使用默认用户和组并使hudson成为root的成员?后者似乎错了.这就提出了一个问题,用户应该拥有/ var / www? (对于那些经验比我更多的人,鉴于这种情况,还有比我见过的两种解决方案更好的东西吗?)
So,should www-data user be the owner
of /var/wwwWhy is the apache process run by
www-data,but the /var/www owned by
root? Is there some risk to making
www-data own the folder and run the
process?
您的Web服务器作为www-data运行.如果apache能够写入/ var / www并且您配置错误,或者您运行的是错误的Web应用程序,或者apache本身存在可利用的错误,那么Internet上的一个邪恶的人就可以将内容写入/ VAR / WWW.只要有可能,您应始终为服务帐户提供运营所需的最低权限.
is there something even better than
the two solutions I’ve seen?
创建一个新组,并将/ var / www的所有权更改为root:group.将需要发布到该文件夹的所有用户添加到该组.您可能还希望使用setgid位标记该文件夹并调整用户的umask,以便他们写入此文件夹的任何内容都可由该组中的任何其他人写入.