înregistrare Logare
Puncte:2
mahen3d avatar Server

Centos - Deploy Web Application - Care este cea mai bună modalitate de a folosi un cont de utilizator non-apache cu SFTP/WinSCP

drapel cn
mahen3d

Am o întrebare simplă, totuși, mă străduiesc să înțeleg cum să fac asta într-o manieră sigură,

Am o aplicație web bazată pe PHP care rulează pe Linux (Centos7), am acces „utilizator” cu privilegii Sudo pe serverul Linux.

Serverul web (Apache) rulează ca un utilizator „apache” cu un grup „apache”,

Problema este că atunci când încerc să implementez aplicații folosind WinSCP, primesc erori cu permisiunea refuzată, SINGURUL mod în care pot rezolva această problemă este să fac o

usermod -g apache myusername
chmod 775 /var/www/html

Nu vreau să dau 775 întregului folder web, Cred că este o problemă mare de securitate. Care este cel mai sigur mod de a arhiva acest tip de sarcină?

Cum îmi pot implementa aplicația folosind Winscp cu contul meu de utilizator, dar AS apache? sau orice alte sugestii privind practicile obișnuite ale industriei care sunt considerate sigure?

128
1 + 0
Puncte:1
avatar Server
drapel no
Sreeraj Karichery

Există mai multe modalități recomandate de a rezolva această problemă.

  1. Adăugați acces la scriere /var/www/html utilizatorului care se autentifică prin WinSCP/SFTP. Acest lucru se poate face în mai multe moduri.
    • Schimbarea grupului la utilizatorul care rulează (și acordați acces la scriere) 
      sudo chgrp <utilizator> /var/www/html
sudo chmod g+w -R /var/www/html
      Notă: Acest lucru funcționează deoarece există întotdeauna un grup Unix creat pentru utilizatori.
    • Crearea unui nou grup Unix care să conțină atât apache, cât și utilizatorul (și acordați acces la scriere) 
      sudo groupadd <nume grup>
sudo chgrp <nume grup> /var/www/html
sudo chmod g+w -R /var/www/html
  2. Rulați serviciul apache pe măsură ce utilizatorul se conectează prin WinSCP/SFTP. (legătură)
  3. Mutați rădăcina documentului apache din /var/www/html (Pur și simplu prin crearea unui link simbolic de la /var/www/html către un director deținut de utilizatorul de implementare sau prin actualizarea configurației Apache)
0 + 4
Falstone avatar
drapel us
Falstone
Folosesc metoda 1 în acest scenariu, care funcționează bine.
0
Răspunde
mahen3d avatar
drapel cn
mahen3d
@sreeraj, puteți explica aceste opțiuni nr: 1 puțin mai mult cu capturi de ecran despre cum să treceți la grupul de rulare?
0
Răspunde
drapel no
Sreeraj Karichery
@mahen3d Adăugat mai multe detalii sunt menționate.
0
Răspunde
Falstone avatar
drapel us
Falstone
Voi adăuga acest lucru ca un comentariu mai degrabă decât un răspuns separat, pentru că cred că Sreeraj merită recompensă pentru răspunsul său destul de complet. Ați exprimat îngrijorări cu privire la securitate. Deci, pornind de la punctul 1 al răspunsului, ați putea inversa proprietatea pentru a vă oferi puțin mai multă siguranță. Presupunând că utilizatorul tău WinSCP se numește „fred” În primul rând: chown -R fred:apache /var/www/html Atunci: chmod 750 /var/www/html Asta limitează permisiunile utilizatorului apache. Ar putea fi un fișier ciudat în directorul în care apache trebuie să scrie, dar care ar putea avea permisiunile setate pe o bază de fișier individual.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.