ubuntuusers.de

user www-data - Apache2

Status: Ungelöst | Ubuntu-Version: Server 20.04 (Focal Fossa)
Antworten |

undine

Anmeldungsdatum:
25. Januar 2007

Beiträge: 3400

Hallo Users,

muss ich den user www-data und die Gruppe www-data anlegen, oder wird der automaitsch mit Apache2 angelegt?

https://forum.ubuntuusers.de/topic/apache2-var-www-und-die-rechte-bitte-um-erklae/

Was ist von den Hinweisen von kim88 zu halten, ist das "best practice"?

chown -R www-data:www-data /var/www/example.com

https://wiki.ubuntuusers.de/Benutzer_und_Gruppen/

https://wiki.ubuntuusers.de/Apache_2.4/

Greetz

undine

DJKUhpisse Team-Icon

Supporter, Wikiteam
Avatar von DJKUhpisse

Anmeldungsdatum:
18. Oktober 2016

Beiträge: 18219

Wohnort: in deinem Browser, hier auf dem Bildschirm

muss ich den user www-data anlegen, oder wird der automaitsch mit Apache2 angelegt?

Normalerweise automatisch. Schau mal in die /etc/passwd.

undine

(Themenstarter)

Anmeldungsdatum:
25. Januar 2007

Beiträge: 3400

cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin
systemd-timesync:x:102:104:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin
messagebus:x:103:106::/nonexistent:/usr/sbin/nologin
syslog:x:104:110::/home/syslog:/usr/sbin/nologin
_apt:x:105:65534::/nonexistent:/usr/sbin/nologin
tss:x:106:111:TPM software stack,,,:/var/lib/tpm:/bin/false
uuidd:x:107:112::/run/uuidd:/usr/sbin/nologin
tcpdump:x:108:113::/nonexistent:/usr/sbin/nologin
sshd:x:109:65534::/run/sshd:/usr/sbin/nologin
landscape:x:110:115::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:111:1::/var/cache/pollinate:/bin/false
_rpc:x:112:65534::/run/rpcbind:/usr/sbin/nologin
statd:x:113:65534::/var/lib/nfs:/usr/sbin/nologin
snapd-range-524288-root:x:524288:524288::/nonexistent:/usr/bin/false
snap_daemon:x:584788:584788::/nonexistent:/usr/bin/false
systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
opc:x:1000:1000::/home/opc:/bin/sh
ubuntu:x:1001:1001:Ubuntu:/home/ubuntu:/bin/bash
lxd:x:998:100::/var/snap/lxd/common/lxd:/bin/false
mysql:x:114:120:MySQL Server,,,:/nonexistent:/bin/false

Erster Link:

Wenn du es noch richtig machen willst kann ich folgende Konfiguration empfehlen. Grundsätzlich solltest du dafür nicht die Gruppe "www-data" nehmen.

Falls der Apache mal eine Sicherheitslücke hat, hat der Angreifer dank der Gruppe www-data automatisch Schreibrechte im DocumentRoot.

Ich erstelle dafür immer eine neue Gruppe z.B.: "www"

Ich mach das grundsätzlich so:

1 2 3 4

sudo groupadd www sudo adduser username www sudo chgrp www /var/www/html sudo chmod g+w /var/www/html

username natürlich durch deinen Benutzernamen ersetzen. Nach einem reboot, hat dein User Schreibrechte auf den DocumentRoot.

Wenn man will kann man sich noch einen symbolischen Link ins Homverzeichnis setzen, um einfacher drauf zugreifen zu können:

1

ln -s /var/www/html /home/username/Sites

Was ist von den Hinweisen von kim88 zu halten, ist das "best practice"?

seahawk1986

Anmeldungsdatum:
27. Oktober 2006

Beiträge: 11260

Wohnort: München

Generell besteht das Problem, dass eine ausnutzbare Sicherheitslücke dazu führen kann, dass der Apache mit den Rechten des Users www-data Dateien auf dem System verändern kann, also will man die Rechte so streng wie möglich setzen.

Wie du das im Detail löst, hängt davon ab, ob du statische Dateien ausliefern willst oder Skripte (z.B. PHP) hast, die Seiten dynamisch generieren, ob Nutzer Daten hochladen dürfen sollen usw. - in den Antworten zu https://serverfault.com/questions/357108/what-permissions-should-my-website-files-folders-have-on-a-linux-webserver gibt es da grobe Empfehlungen.

Antworten |