저는 기본적으로 작은 데이터 프로젝트와 파일을 호스팅하기 위해 작은 웹 서버를 운영합니다. 서버에는 공용 IP 주소가 있습니다.
FTP를 통해 직접 파일을 업로드할 수 있기를 원하므로 사용자가 비밀번호를 갖고 직접 로그인할 수 /var/www/*있도록 허용하는 것을 고려 중입니다 . www-data이는 또한 웹 디렉토리에서 작업을 수행할 때마다 파일 소유권을 변경하지 않아도 됩니다(현재는 루트로 이 작업을 수행하므로 보안 위험도 있습니다).
www-data 사용자가 로그인하도록 허용하면 보안 위험이 있습니까? 그렇다면 최선의 선택은 무엇입니까?
답변1
한 가지 보안 위험은 웹 서버 자체를 죽이거나 다른 방식으로 폐기할 수 있다는 것입니다(동일한 사용자를 사용하기 때문에). 이는 아마도 원하는 것이 아닐 것입니다. 루트를 사용할 때도 마찬가지일 것입니다.
두 가지 솔루션:
자신을 위한 하위 디렉터리를 만들고
/var/www, 자신에게 chown하고, 자신의 사용자를 사용하세요. (또는 새로 생성)예:
root@box# mkdir /var/www/joes-toys root@box# chown joeuser:joegroup /var/www/toys root@box# chmod u=rwx,g=rx,o=rx귀하의 사용자(본인 또는 새 사용자)를 www-data 그룹에 넣고 그룹에 쓰기 권한이 있는지 확인하십시오.
/var/www예:
root@box# adduser joeuser www-data root@box# chgrp -R www-data /var/www root@box# chmod -R g+w /var/www
PS: 이제 암호화되지 않은 FTP를 사용하지 마세요! sftp(ssh 제품군에서) 또는 최소한 ftps(ssl을 통한 ftp)를 사용하십시오.
답변2
데몬은 여러 가지 이유로 로그인에 실패하는 경우가 많습니다. 무엇보다도 안전이 중요한 문제입니다. www-data많은 플랫폼에서 웹 서버를 실행하는 경우 시스템에서 이를 사용할 수 있다고 가정합니다. 해당 사용자 ID로 로그인할 수 있다면 귀하의 웹 서버 및/또는 그 콘텐츠를 쉽게 손상시킬 수 있습니다. (맬웨어 제공을 생각해 보세요.)
이러한 파일은 없는 것이 가장 좋습니다 www-data. 중요한 것은 www-data파일을 읽을 수 있다는 것입니다. 동일한 그룹으로 사용자 ID를 생성하고 해당 사용자에게 FTP 액세스를 허용하는 것을 고려하십시오. 보안을 강화하려면 웹 서버가 쓸 수 있는 디렉터리를 가능한 한 적게 제공하십시오.