По умолчанию apache запускается под пользователем никто. Есть ли причина, по которой я бы хотел это изменить? Это делает вещи более безопасными?
2 ответа
8
Нет, на самом деле нет причин менять это. Да, это для безопасности. Идея состоит в том, что вы хотите максимально изолировать процессы Apache, так что если учетная запись, выполняющая эти процессы, будет скомпрометирована (например, из-за уязвимости в программном обеспечении сервера Apache), злоумышленник не сможет легко выполнить какие-либо действия. повреждение самого сервера. По этим причинам nobody почти не является непривилегированным пользователем: кроме запуска процессов, он не владеет никакими файлами, не может записывать в какие-либо файлы или действительно имеет полномочия что-либо делать вообще.
2
Вы бы предоставили ему только своего собственного пользователя, если бы вы хотели, чтобы Apache мог иметь доступ к файлам, которые другие пользователи не могут. Например, если вы хотите, чтобы код вашего cgi или что-то еще было секретным, вы можете сделать эти файлы доступными только для владельца и принадлежать пользователю apache. В этом случае вы все равно захотите убедиться, что никто не сможет войти на ваш сервер с таким именем пользователя, поэтому вы должны предпринять необходимые шаги для этого в зависимости от вашей операционной системы.