Jakie uprawnienia ustawić do katalogu /var/www dla usera?


(B4617824) #1

Hej na nginx zrobiłem sobie katalog /var/www zeby było podobnie jak w apachu i tam jest moja strona. Wszystko działa ok, problem w tym ze zablokowałem sobie roota i siedze teraz na użytkowniku i zupełnie nie wiem jak najlepiej zrobić, zeby mieć dostęp do tego katalogu poprzez sftp jako użytkownik. Zapytam się też przy okazji, czy ten katalog może mieć chmoda 755? Jakos to jest moja pieta achillesowa te uprawnienia i grupy np. nie wiem tez nic o www-data z czym to sie je :frowning: Katalog obecnie ma właściciela root i chmoda 755 jak wspomniałem.


(Linux_to_syf^^) #2

Jak? I może ważniejsze pytanie.... po co?

Każdy prócz roota ma prawo do odczytu i wykonywania, root ma jeszcze prawo do zapisu.


(B4617824) #3

W ustawieniach ssh. A po co blokuje się root-a na serwerze to chyba wiadome :slight_smile: Jest całkiem sporo technik zalogowania się na root nawet bez brute force i znajomości hasła.

No to wiem ale czy to optymalne ustawienie to nie powiedziałbym, zwłaszcza teraz jak z roota nie korzystam. Mi zależy na tym, żeby to było porządnie i bezpiecznie zrobione i jednocześnie zebym ja jako użytkownik a nie root miał dostep do plików poprzez sftp.


(Linux_to_syf^^) #4

To pozwól na logowanie się tylko poprzez kluczyki. Sposobów na podniesienie sobie uprawnień już po zalogowaniu się też jest sporo :wink:. Ale czy jest sens popadać w paranoję na zapewne małym serwerze na własny użytek?


(GioWDS) #5

Zakładam że zablokowałeś logowanie na roota przy pomocy odpowiedniej opcji w serwerze SSH.

Jeśli więc teraz chcesz się zalogować na roota wystarczy wpisać w konsoli polecenie

$ su -

Natomiast w przypadku który podałeś polecałbym wykonać polecenie

# chown uzytkownik:grupa /var/www -R

(Linux_to_syf^^) #6

Chyba, że w panicznym dążeniu do bezpieczeństwa ograniczył wykorzystanie su do grupy, do której użytkownik nie należy :wink: (wbrew pozorom, to dość częsty zwyczaj)


(B4617824) #7

No tak, zapomniałem jak zwykle o chown , moja wina :roll:

W sumie masz rację :slight_smile: A co byś jeszcze polecał z tych sposobów? 8) Wiesz serwer na razie owszem amatorski ale w niedalekiej przyszłości ma być typowo produkcyjny.


(GioWDS) #8

Zasada jest jedna, zamykamy wszystko co nie jest bezwzględnie konieczne do działania.

Pamiętaj, żeby koniecznie zablokować cały ruch wychodzący UDP poza DNS-ami - swego czasu spustoszenie siał Tabaluga - prosty skrypt w PHP, który wykonywał w dużej ilości połączenia UDP z ofiarą ataku.

Ograniczyć PHPowi możliwość uruchamiania plików tylko i wyłącznie jeśli mają prawo do wykonywania.