Uczę się dopiero obsługi Linuksa i nigdzie nie mogę znaleźć informacji na temat użytkownika/grupy www-data.
Konfiguracja
Lenny +Apache2+PHP+Mysql+proftpd
Mam kilka pytań i byłbym wdzięczny jeżeli ktoś mi rozjaśni te kwestie:
Czy słuszna jest zmiana właściciela i grupy dla /var/www z root:root na www-data:www-data?
Tak właśnie zrobiłem, dodatkowo założyłem przez passwd hasło dla tego użytkownika aby móc się na niego logować przez ftp i mieć dostęp do /var/www
Nie jestem pewny czy to jest słuszne rozwiązanie, może powinienem założyć innego użytkownika, którego będę używał do ftp?
Rozumiem, że www-data jest użytkownikiem na którym staruje Apache?
Nie wiem, czy przypadkiem za pomocą chown nie zmieniłem zbyt wielu praw. W tej chwili ,,ls -la'' wykonane w /var pokazuje mi, że każdy folder się tam znajdujący ma użytkownika i grupę www-data www-data. Proszę potwierdzić albo zaprzeczyć czy tak powinno być?
Ad 1. właścicielem www powinien być www-data - nie root, nie ma potrzeby by był to root
Ad 2. tak na tym użytkowniku pracuje Apache i uzyskuje dostęp do plików - to można zmienić w pliku konfiguracyjnym apache
Ad 3. nie, właścicielem powinien być root - tylko www www-data - nieźle namieszałeś, ale na tym polega nauka - parę razy reinstalacja bo nie znajdziesz jak naprawić i będzie dobrze
Zmienię chown na pozostałych katalogach i będzie dobrze.
I tak jestem z siebie dumny bo dzisiaj po całym dniu udało mi się uruchomić https i stworzyć CA tak, że tylko użytkownicy z zainstalowanym w przeglądarce certyfikatem mogą się dostać do strony.
Nie rozumiem tylko jednego: Dlaczego po instalacji Debiana i apache domyślnie właścicielem /var/www był root:root a nie www-data?
Ja bym dwa słowa dodał.
Nie ma absolutnie żadnej potrzeby, żeby korzystać z użytkownika www-data do kopiowania danych. Co więcej wydaje mi się to wręcz niewskazane. Najprościej jest dodać użytkownika uprawnionego do tego do grupy www-data przyznając jednocześnie tej grupie prawa zapisu w katalogu /var/www. Oczywiście trzeba wtedy pamiętać o odpowiednich zmianach właściciela/uprawnień, żeby mieć pewność, że www-data ma dostęp do danych.
Pozdrawiam
lukpal19 pisze:I tak jestem z siebie dumny bo dzisiaj po całym dniu udało mi się uruchomić https i stworzyć CA tak, że tylko użytkownicy z zainstalowanym w przeglądarce certyfikatem mogą się dostać do strony.
Chyba namieszałeś. Certyfikat w przeglądarce nic nie ma do dostania się na stronę bo to nie jest weryfikowalne na tym poziomie, dodajesz sobie wyjątek i już się dostajesz i chyba oto Ci chodziło.
lukpal19 pisze:I tak jestem z siebie dumny bo dzisiaj po całym dniu udało mi się uruchomić https i stworzyć CA tak, że tylko użytkownicy z zainstalowanym w przeglądarce certyfikatem mogą się dostać na stronę.
Chyba namieszałeś. Certyfikat w przeglądarce nic nie ma do dostania się na stronę bo to nie jest weryfikowalne na tym poziomie, dodajesz sobie wyjątek i już się dostajesz i chyba oto Ci chodziło.
Upieram się jednak, że mam rację, może się nie zrozumieliśmy. Zrobiłem taki system, że serwer z postawionym apache wysyła do każdej osoby próbującej wejść na stronę www obsługiwane przez serwer żądanie pokazania certyfikatu. Jednocześnie sprawdza wartości odpowiednich pól w tym certyfikacie. Reasumując jeżeli nie dostaniesz ode mnie odpowiednio przygotowanego certyfikatu nie masz szans wejść na moją stronę.
W każdym bądź razie temat zamknięty, udało się pozmieniać odpowiednio prawa.
