এনজিঞ্জ এবং পিএইচপি কোন ব্যবহারকারী হিসাবে চলতে হবে?

15

অনুমতিগুলি এমন কিছু যা লিনাক্সের সাথে আমার জন্য কিছুক্ষণ বিভ্রান্ত হয়েছিল। সুতরাং এই মুহুর্তে আমার এনজিঞ্জ এবং পিএইচপি-এফপিএম উভয় উদাহরণ ব্যবহারকারী এবং গোষ্ঠীর সাথে চলছে:

WWW-ডেটা

এই মান? আমি যখন ফাইল আপলোড করতে পারি তখন আমি সমস্যার মধ্যে পড়ে যাই।

উদাহরণস্বরূপ , একটি ফাইল ব্যবহারকারী এবং গ্রুপ www-ডেটা উভয় দিয়ে আপলোড করা হবে। এখন, আমি কীভাবে আমার ওয়েব অ্যাপ্লিকেশনটিতে অনুমতি (0440) সেট করেছি তার কারণে আমি এই ফাইলগুলি ডাউনলোড করতে আমার সাধারণ অ্যাকাউন্টের মাধ্যমে এসএসএসের মাধ্যমে লগইন করতে পারি না। এটি পরিবর্তন করা যায় না।

আমি গ্রুপটি রাখার জন্য আমার এনগিনেক্স এবং পিএইচপি উদাহরণটি পরিবর্তন করার কথা ভাবছিলাম, তবে তাদেরটিকে আমার ব্যবহারকারীর নামে চালানোর জন্য পরিবর্তন করব।

এখানে অনুমতি পরিচালনা করার সঠিক উপায় কী? ধন্যবাদ.

linux  permissions  users  groups  runas 
পিক্সেল বিকাশকারী
সূত্র

উত্তর:

12

এটি এইভাবে কীভাবে কাজ করে: আপনি যখন FTP / SSH- এর মাধ্যমে লগইন করেন এবং ফাইলগুলি আপলোড করেন তখন সেগুলি আপনার অনুমতি নিয়ে তৈরি করা হয়। সম্ভবত আপনার ওয়েবরুটটি বিশ্ব লিখনযোগ্য (0777), এটি অনিরাপদ - সিস্টেমের প্রতিটি ব্যবহারকারী সেখানে কিছু লিখতে পারেন। পিএইচপি বিভিন্ন ব্যবহারকারীর অধিকার নিয়ে চলে (তারা পিএইচপি-এফপিএম কনফিগারেশনে উল্লিখিত হয়, এনগিনেক্স কনফিগারেশন নয়) এবং ডিরেক্টরিটি বিশ্ব লিখনযোগ্য হিসাবে, পিএইচপি ব্যবহারকারী (www-ডেটা) সেখানেও লিখতে পারে। তবে এই ফাইলটির মালিক হ'ল www-ডেটা, আপনার অ্যাকাউন্ট নয়। এগুলি ফাইল সিস্টেমের অনুমতি স্তরের 2 স্বতন্ত্র অ্যাকাউন্ট।

আমি আপনাকে কমপক্ষে সম্ভাব্য সুবিধাগুলি সহ ডেডিকেটেড ব্যবহারকারী তৈরি করার পরামর্শ দিচ্ছি, যা ওয়েবরুট ডিরেক্টরি মালিকানাধীন এবং এফটিপি / এসএসএইচ আপলোডের জন্য ব্যবহৃত হবে এবং পিএইচপি চালাবে। আপনার পিএইচপি-এফপিএম কনফিগারেশন পরিবর্তন করা উচিত, কর্মী বিভাগে ব্যবহারকারী প্রবেশ এবং এনজিআইএনএক্স কনফিগারেশন রয়েছে, যাতে আপনি আপনার ওয়েবসাইট ফাইলগুলি বিশ্ব-পঠনযোগ্য নয় এবং আরও সুরক্ষিত করতে পারেন।

সুবিধাপ্রাপ্ত (sudo ক্যাপাবিলিটিস, ডাইক্রোটের বাইরে থাকা সুবিধাগুলি লেখার) ব্যবহারকারীর সাথে পিএইচপি চালাবেন না, এটি সার্ভারের সুরক্ষার আপোষের কারণ হতে পারে।

Kristaps
সূত্র
1
সুন্দর উত্তর, আমি একটি নতুন ব্যবহারকারী তৈরি করেছি, নতুন ফোল্ডারগুলি, সমস্ত কিছু অনুলিপি করেছি, সঠিক অনুমতিগুলি প্রয়োগ করেছি এবং ব্যবহারকারীর ক্রোয়েট করেছি। সুন্দরভাবে কাজ করে। ধন্যবাদ.
পিক্সেল বিকাশকারী
আমি কি www-dataডেডিকেটেড ইউজার তৈরির পরিবর্তে গ্রুপে আমার এফটিপি ব্যবহারকারীকে যুক্ত করতে পারি? এটি @ দ্য পিক্সেল ডেফলার ইস্যু সমাধান করে? ধন্যবাদ।
ভ্লাদিস্লাভ তুরাক
2

www-dataব্যবহারকারীর গ্রুপ বেশ মান। এটি অন্য সিস্টেমে www বা ওয়েব হতে পারে তবে ধারণাটি একই: ডেডিকেটেড অ্যাকাউন্ট দিয়ে ওয়েব পরিষেবাদি চালান। সুতরাং, যখন আপনার ওয়েব সার্ভার আপস করা হবে, আক্রমণকারী কেবল এই অ্যাকাউন্টটি মঞ্জুর করা ফাইলগুলিতে অ্যাক্সেস করতে সক্ষম হবে।

যদি কোনও ব্যবহারকারীর ওয়েব পরিষেবাদি পরিচালনা করতে হয় তবে আপনার ব্যবহারকারীকে প্রাসঙ্গিক গোষ্ঠীতে (www-ডেটা) যুক্ত করতে হবে বা প্রাসঙ্গিক ব্যবহারকারীর (এখনও www-ডেটা) তাকে su (বা sudo) করার অনুমতি দেওয়া উচিত।

বেনইট
সূত্র
10
Www-ডেটার কারণ হ'ল এটি শূন্য সুবিধার একটি অ্যাকাউন্ট - এটি পুরো ফাইল সিস্টেমে কোনও ফাইলকে লিখতে পারে না, বিশ্ব-পাঠযোগ্য ফাইলগুলি ছাড়া আর কিছুই পড়তে পারে না। পূর্বে, আপনি এটি অর্জনের জন্য বিল্ট-ইন ব্যবহারকারী "কেউ না" ব্যবহার করবেন। তবে, "www-ডেটা" তৈরি করে আপনার এই ব্যবহারকারীকে সেই ফাইলগুলিকে বিশ্ব লিখনযোগ্য (যা খারাপ) না করে কিছু ফাইল লেখার অনুমতি দেওয়ার সম্ভাবনা রয়েছে । মূল নীতিটি, যে "www-ডেটা" অন্যান্য উপায়ে "কেউ নেই" হিসাবে ততটাই সুবিধাযুক্ত, সত্য বলে মনে করে।
থমাসরুতার
@ থোমাস্রুতার, আমি যা বুঝি সে থেকে আমার www-ডেটা গ্রুপে থাকা www-ডেটা ব্যবহারকারীর অধীনে Nginx এবং PHP-FPM চালানো উচিত। যদি আমি চাই যে এই ব্যবহারকারীর read& writeকোনও ফোল্ডারে সক্ষম হয়ে উঠুক তবে তার জন্য আমাকে যথাযথ অনুমতি দেওয়া দরকার। বেশিরভাগ ক্ষেত্রে, এটি হবে ওয়েব রুট ফোল্ডার /var/www/htmlএবং 755অনুমতি। আমি কি সঠিক? ধন্যবাদ!
ভ্লাদিস্লাভ তুরাক
1

আমি সুরক্ষার কারণে এনগিনেক্স / পিএইচপি এক্সিকিউট স্ক্রিপ্টগুলি www-ডেটা হিসাবে মালিকানা এড়ানোর চেষ্টা করি।

এড ব্লুম
সূত্র
9
আপনি কি এ সম্পর্কে বিস্তারিত বলতে চান?
কারসেল
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.