Apache2 웹사이트당 사용자(Debian)

tag-icon tag-icon debian apache-httpd webserver
Apache2 웹사이트당 사용자(Debian)

저는 Gnu/Linux에 대한 경험이 거의 없습니다.

현재 여러 Apache2 가상 호스트를 생성하려는 VPS(Debian 10)를 구성 중입니다.

모든 가상 호스트 디렉토리는 에 위치합니다 /var/www/vhosts.

따라서 각 가상 호스트(예 myproject.com: )에 대해 다음을 수행합니다.

/var/www/vhosts/myproject.com
/var/www/vhosts/myproject.com/public_html
/var/www/vhosts/myproject.com/__logs__

각 가상 호스트에 대해 새 사용자가 생성됩니다. 위의 예에서 - usr_myproject사용자의 홈 디렉토리(FTP 목적)는 이어야 합니다 /var/www/vhosts/myproject.com.

내 문제는 이 사용자와 가상 호스트 디렉터리에 올바른 권한과 그룹을 할당하는 것입니다. 디렉토리에 대해서도 같은 질문입니다 /var/www/vhosts.

웹 리소스에 대한 도움이나 링크를 주시면 대단히 감사하겠습니다.

감사해요.

답변1

이것ITKapache2 모듈은 가상 호스트별로 다양한 시스템 사용자를 지원합니다. 데비안용으로 패키지되어 있습니다 apache2-mpm-itk.

사용자를 생성하거나 관리하지 않습니다. 일반적인 도구를 사용하는 것은 사용자에게 달려 있습니다.

나는 이것을 자주 사용했고(공유 서버에서 많은 가상 호스트를 실행할 때) 일반적으로 각 가상 호스트가 자신의 홈 디렉토리( /home/WEB/username) 를 갖고 해당 가상 html설정 했습니다. 홈 디렉토리. 이렇게 하면 필요한 경우 다른 서버로 쉽게 마이그레이션할 수 있습니다.logscgi-bin

ftp또한 웹 호스트 소유자가 자신의 사이트를 사용 또는 sftp업데이트하거나 자신의 로그 파일 등을 얻는 것이 더 쉬워집니다 . 그리고 한 가상 호스트의 소유자가 다른 가상 호스트에 속한 파일을 읽을 수 없도록 보장하여 스크립트나 구성 파일에 포함된 비밀번호로 데이터베이스와 같은 기밀 정보를 보호합니다.

ITK 웹페이지에서:

apache2-mpm-itk(줄여서 mpm-itk)는 Apache 웹 서버의 MPM(다중 처리 모듈)입니다. mpm-itk를 사용하면 별도의 uid 및 gid에서 각 가상 호스트를 실행할 수 있습니다. 즉, 한 가상 호스트의 스크립트 및 구성 파일을 더 이상 다른 모든 가상 호스트에서 읽을 필요가 없습니다.

mpm-itk는 전통적인 prefork MPM을 기반으로 합니다. 즉, 스레드가 아닌 코드를 문제 없이 실행할 수 있다는 의미입니다. 반면에 스레드를 사용하여 얻을 수 있는 성능 이점은 상실됩니다. 그만한 가치가 있는지 스스로 결정해야 합니다. 또한 각 요청마다 추가 포크가 있기 때문에 프리포크에 비해 추가 성능 저하가 발생합니다.

그리고:

프리포크 MPM의 새로운 구성 설정은 다음과 같습니다.

  • 사용자 ID 할당: uid와 gid(또는 실제로는 사용자 이름과 그룹 이름)라는 두 개의 매개 변수를 사용합니다. 원래 uid를 지정하려면 "#"을 사용하세요. 요청을 구문 분석한 후 가상 호스트가 실행될 uid와 gid를 지정합니다. , 물론) . 사용자 ID를 할당하지 않으면 Apache의 기본 사용자 ID가 사용됩니다.

  • 사용자 ID 표현식 할당,그룹 ID 표현식 할당(Apache 2.4 이상에만 해당): AssignUserID와 유사하지만 Apache 표현식을 사용하여 사용자 또는 그룹을 동적으로 선택합니다. 아래를 참조하세요.

  • 클라이언트 가상 호스트의 최대 수: 가상 호스트를 위한 별도의 MaxClient입니다. 이는 가상 호스트의 절반이 NFS 서버에 의존하는 경우 유용할 수 있습니다. NFS 서버가 다운되면 하위 프로세스가 NFS에 종속되지 않은 호스트를 종료하기 위해 NFS에서 영원히 기다리는 것을 원하지 않습니다. 따라서 이는 NFS 종속 가상 호스트가 "서버 사용량이 너무 많음" 상태를 경험하면서 다른 가상 호스트는 정상적으로 실행되도록 하는 안전 조치로 사용될 수 있습니다. (물론 사이트가 너무 많은 리소스를 소비하는 것을 방지하기 위해 이 기능을 사용할 수도 있지만 아마도 더 좋은 방법이 있을 것입니다.)

  • 좋은 가치: 일부 요청을 줄여 CPU 시간을 줄일 수 있습니다.

  • 기능 활성화(Apache 2.4 이상에만 해당): 상위 프로세스에서 대부분의 루트 기능을 제거하고 몇 가지 추가 기능(특히 setuid)과 함께 User/Group 지시어에 지정된 사용자로 실행됩니다. 더욱 안전하지만(특히 위의 LimitUIDRange와 결합된 경우) 해당 기능을 지원하지 않는 파일 시스템(예: NFS)에서 서비스할 때 문제가 발생할 수 있습니다.

  • UID 범위 제한,GID 범위 제한(Apache 2.4 이상에만 해당): setuid() 및 setgid() 호출을 지정된 범위로 제한합니다(예: "LimitUIDRange 1000 2000"은 1000에서 2000(포함) 사이의 uid만 허용). 보안을 어느 정도 향상할 수 있습니다. 이를 위해서는 seccomp v2(Linux 3.5.0 이상)가 필요합니다. 또한 setgroups()는 기술적인 이유로 제한되지 않으므로 악의적인 프로세스는 여전히 원하는 그룹을 얻을 수 있지만 성공적인 공격을 실행하는 것은 그렇지 않은 경우보다 까다롭습니다.

답변2

각 사용자가 자신의 파일을 가질 수 있도록 파일 ACL이 유용할 수 있지만 ACL을 사용하여 Apache가 해당 파일을 읽을 수 있도록 허용할 수도 있습니다. ACL의 기본 권한을 검토할 수도 있습니다.

관련 정보