我使用用户“webroot”拥有专用服务器上的PHP脚本。
如果脚本是由我的系统上的apache2用户“www-data”拥有的话,编码和pipe理会更容易。 也感觉更简单和干净。
这个盒子上没有ftp,没有其他用户或站点。
为什么不拥有www-data所拥有的PHP脚本? 如果有什么反对的话,会发生什么事情呢?
出于安全原因,我强烈build议不要使用apache用户作为文件的所有者。 如果你的一个apache php脚本受到攻击,它将能够写入由apache拥有的任何文件。
你应该使用所有权的Apache用户严格的文件,你需要改变的PHP。
听起来就像你使用Ubuntu(就像他们使用www数据用户一样)
我会build议总是让apache用户和组(在httpd.conf或apache.conf中设置)成为网站文件的所有者。
我更喜欢使用apache:apache
危险的是脚本或Web服务器可能被攻破,攻击者可以将PHP文件写入服务器。 威胁的现实程度取决于如果您的脚本允许上传文件(以及检查文件types的方式)以及运行的软件。 安全不是一个“是/否”的任何一个/命题 – 通常寻找机会使服务器在许多不同的地方更加安全。 不幸的是,安全性与方便性几乎总是一致的。
反对拥有相同用户拥有文件并运行httpd进程的论点是,如果你的apache实例被攻破,攻击者可以修改你的文件根目录中的文件。
像往常一样,安全性和易用性是不一致的,所以您必须根据您的环境进行调用。
这篇关于apache和文件所有权/权限的文章有点旧,但是同样的原则仍然适用