Unter welchem ​​Benutzer sollten NGinx und PHP ausgeführt werden?

Berechtigungen sind etwas, das mich eine Weile mit Linux verwechselt hat. Zur Zeit werden sowohl meine NGinx- als auch meine PHP-FPM-Instanzen mit dem Benutzer und der Gruppe ausgeführt:

www-daten

Ist das Standard? Beim Hochladen von Dateien treten Probleme auf.

Beispielsweise würde eine Datei sowohl mit den Benutzer- als auch mit den Gruppen-WWW-Daten hochgeladen. Aufgrund der Einstellung der Berechtigungen (0440) in meiner Webanwendung kann ich mich nicht mit meinem normalen Konto über ssh anmelden, um diese Dateien herunterzuladen. Dies kann nicht geändert werden.

Ich dachte daran, meine Nginx- und PHP-Instanz zu ändern, um die Gruppe beizubehalten, aber sie so zu ändern, dass sie unter meinem Benutzernamen ausgeführt wird.

Wie gehe ich hier mit Berechtigungen richtig um? Danke.

So funktioniert das: Wenn Sie sich über FTP / SSH anmelden und Dateien hochladen, werden diese mit Ihren Berechtigungen erstellt. Wahrscheinlich ist Ihr Webroot von der Welt beschreibbar (0777), das ist unsicher - jeder Benutzer im System kann dort etwas schreiben. PHP wird mit unterschiedlichen Benutzerrechten ausgeführt (diese sind in PHP-FPM config und nicht in nginx config angegeben). Da das Verzeichnis in der Welt beschreibbar ist, können auch PHP-Benutzer (www-data) dort schreiben. Eigentümer dieser Datei sind jedoch www-Daten, nicht Ihr Konto. Es handelt sich um zwei unterschiedliche Konten in der Dateisystemberechtigungsstufe.

Ich schlage vor, dass Sie einen dedizierten Benutzer mit den geringstmöglichen Rechten erstellen, der das Webroot-Verzeichnis besitzt und für den FTP / SSH-Upload verwendet wird UND PHP ausführt. Sie sollten die PHP-FPM-Konfiguration ändern. Im Worker-Bereich befinden sich die Benutzereingabe und die NGINX-Konfiguration, sodass Sie Ihre Website-Dateien nicht mehr für die ganze Welt lesbar und sicherer machen können.

Führen Sie PHP nicht mit privilegierten Benutzern (Sudo-Funktionen, Schreibrechte außerhalb von Docroot) aus, da dies zu einer Gefährdung der Serversicherheit führen könnte.

Die www-dataBenutzer & Gruppen sind ganz normal. Es kann www oder web auf anderen Systemen sein, aber die Idee ist dieselbe: Führen Sie die Webdienste mit einem dedizierten Konto aus. Wenn also Ihr Webserver kompromittiert ist, kann der Angreifer nur auf die Dateien zugreifen, denen dieses Konto gewährt wurde.

Wenn ein Benutzer die Webservices verwalten muss, sollten Sie ihn der entsprechenden Gruppe hinzufügen (WWW-Daten) oder ihm erlauben, dem entsprechenden Benutzer su (oder sudo) zuzuweisen (immer noch WWW-Daten).

Ich versuche aus Sicherheitsgründen zu vermeiden, dass Nginx / PHP Skripte ausführt, die sich im Besitz von WWW-Daten befinden.