Provozuji malý webový server v podstatě jen pro hostování malých datových projektů a souborů. Tento server má veřejnou IP adresu.
Chtěl bych mít možnost připojit se k FTP a nahrávat soubory přímo do /var/www/*
, a proto zvažuji povolení www-data
mít heslo a přihlásit se přímo. Tím bych se také vyhnul nutnosti měnit vlastnictví souboru pokaždé, když dělám cokoli ve webovém adresáři (což momentálně dělám jako root, takže i zde existuje bezpečnostní riziko).
Existuje nějaké bezpečnostní riziko pro umožnění přihlášení uživateli www-data? Pokud ano, jaká je nejlepší alternativa?
Přijatá odpověď:
Jedním z bezpečnostních rizik je, že můžete zabít nebo jinak řešit samotný webový server (protože pak používáte stejného uživatele.) To pravděpodobně není to, co chcete. Totéž pravděpodobně, když používáte root, že jo.
Dvě řešení:
-
Vytvořte podadresář pod
/var/www
pro sebe, chown to pro sebe a pak použijte svého vlastního uživatele. (nebo vytvořte nový)Příklad:
[email protected]# mkdir /var/www/joes-toys [email protected]# chown joeuser:joegroup /var/www/toys [email protected]# chmod u=rwx,g=rx,o=rx
-
Vložte svého uživatele (svého nebo nového) do skupiny www-data a ujistěte se, že skupina má oprávnění k zápisu na
/var/www
Příklad:
[email protected]# adduser joeuser www-data [email protected]# chgrp -R www-data /var/www [email protected]# chmod -R g+w /var/www
P.S.:V dnešní době nepoužívejte nešifrovaný FTP! Použijte sftp (ze sady ssh) nebo alespoň ftps (ftp přes ssl).