Apache多站点分用户权限设置
分享下apache的每个站单独分配一个用户,先假设下,系统 /data 目录下 有www.abc.com 和www.bbs.com ,要实现的目的就是比如www.abc.com被入侵,入侵者看不到并且修改不了www.bbs.com站内的文件。www.abc.om 用abc用户,www.bbs.com用bbs用户。
apache装完都有www-data用户www-data用户组,所以网站都是以这个用户用户组运行,要权限单独出来先建两个用户。
useradd -g www-data -d /dev/null -s /usr/sbin/nologin abc
useradd -g www-data -d /dev/null -s /usr/sbin/nologin bbs
然后 apt-get install apache2-mpm-itk (安全权限分离的安全模块)
再添加虚拟主机时候添加下指定用户
<VirtualHost *:80>
DocumentRoot "/var/www/www.abc.com"
ServerName www.abc.com
CustomLog /var/log/apache2/www.abc.com.log combined
AssignUserId abc www-data
<Directory "/var/www/www.abc.com">
allow from all
Options -Indexes
</Directory>
</VirtualHost>
然后重启下apache,这样每个网站运行用户就分离出来了,然后就是设置目录以及文件权限了,
chown root.root /data
chmod 751 /data (这样就可以禁止其它组查看该目录的权限,入侵者就看不到/data下有那些网站目录,当然你可以来个711 什么的)
cd /data
chown abc.www-data www.abc.com
chmod 500 www.abc.com
cd www.abc.com
chmod -R 700 upload 因为这个目录要上传,所以要给写人的权限
chmod -R 500 images 图片目录给500就可以,不需要写入,400也应该可以
chmod -R 500 *.php 防止php或者html被挂马,给个500或者400就行
就这些,就算自己做了个笔记,以后这块的安全设置还是用的着。
后续一:
经过几天的运行感觉这模块会限制流量,服务器只能跑到10M的流量,怎么都不会超过这个值,然后网站打开很慢,开始以为机房限速了,网线和接口都换 了还是不能超过10M,再怀疑网卡问题,服务器两个网卡对换下还是不行,因为前面是LVS,我就把这台后端给切掉,用另外一台4G内存没装这个模块的服务 器跑,到到10多M速度照样很快,开始真有点想不通,不可能是系统问题,再说也是8G内存,比4G大了一倍,过了一天才想到这个问题,后来 aptitude purge apache2-mpm-itk 后才恢复,看样子 apt-get的确实有问题,即使网站没AssignUserId abc www-data 没调用这个模块都会限速。所以这个模块需要编译安装试下。
后续二:
过了几天,去GG搜了搜,发现国外很多论坛关于apache这模块,有这样的设置:
<IfModule itk.c>
AssignUserID www-data www-data
StartServers 5
MinSpareServers 10
MaxSpareServers 20
ServerLimit 1500
MaxClients 1500
MaxRequestsPerChild 10000
</IfModule>
这才让我恍然大悟,apache2ctl -l 查看下,发现还是用的 itk.c 模块,所以 aptitude purge apache2-mpm-itk 后才让他恢复默认的 mpm_prefork 模式。
# apache2ctl -l
Compiled in modules:
core.c
mod_log_config.c
mod_logio.c
itk.c
http_core.c
mod_so.c
标签: Apache安全用户权限设置
Sort
Archive
- 2023年1月(1)
- 2019年4月(1)
- 2018年12月(2)
- 2014年9月(1)
- 2014年7月(1)
- 2014年5月(4)
- 2013年4月(10)
- 2013年3月(2)
- 2012年11月(10)
- 2012年10月(2)
- 2012年9月(2)
- 2012年8月(9)
- 2012年7月(1)
- 2012年6月(4)
- 2012年5月(4)
- 2012年4月(11)
- 2012年3月(11)
- 2012年1月(16)
- 2011年12月(6)
- 2011年11月(8)
- 2011年10月(8)
- 2011年9月(3)
- 2011年8月(6)
- 2011年7月(3)
- 2011年6月(5)
- 2011年5月(10)
- 2011年4月(4)
- 2011年3月(4)
- 2011年2月(7)
- 2011年1月(16)
- 2010年12月(9)
- 2010年11月(29)
- 2010年10月(14)
- 2010年9月(15)
- 2010年8月(16)
- 2010年7月(22)
- 2010年6月(19)
- 2010年5月(27)
- 2010年4月(21)
- 2010年3月(24)
- 2010年2月(9)
Comment
- Lightning_bear
失效了 - admin
在哪下载? - 王健宇
@红河:CMD命令里... - 红河
台式机安装了蓝牙。但... - M2nT1ger
@LiveOnLov... - LiveOnLove
可以将Tablet ... - 阿生
表示支持了 - M2nT1ger
@无:每种都学啊。 - 无
向您这么厉害,得学习... - M2nT1ger
@被屏蔽的昵称:谢谢...
发表评论: