Как мне действовать при настройке NFS и Owncloud?
Owncloud - это PHP-приложение, которое требует MySQL и Apache. Таким образом, благодаря тому, что Owncloud установлен и работает, вы уже будете запускать веб-сервер Apache.
Apache может быть настроен для работы от одного локального пользователя, обычно это www-data
. Каждый файл Apache (и, следовательно, любой пользователь, который подключается к вашему веб-серверу извне), который может коснуться и потенциально обслуживающий, должен быть доступен пользователю www-data
или группе www-data
.
PHP - это модуль, который вызывается Apache, когда пользователь запускает скрипт PHP. PHP будет работать от имени того же пользователя, что и Apache. Тем не менее, PHP может попытаться получить доступ к любому файлу в вашей системе. Это не будет успешным, если разрешения блокируют его - т.е. если файл не доступен пользователю или группе www-data
(при условии значений по умолчанию).
Приложение PHP, если оно написано плохо, может быть уязвимо для эксплойтов, которые позволяют пользователям просматривать любой файл, к которому имеет доступ PHP. Пример того, что хакер может попытаться сделать, - это отправить искаженный запрос в скрипт PHP и заставить его вернуть /etc/passwd
или, возможно, содержимое других общедоступных файлов конфигурации в /etc
Теперь это не очень вредно для вашей системы в данный момент, но может дать злоумышленнику информацию о действительных учетных записях, что может помочь им, если они попытаются каким-то образом взломать локальную учетную запись.
OwnCloud существует уже довольно давно, поэтому он относительно зрелый и протестирован в полевых условиях, но от этого следует отказаться: следите за обновлениями.
Сам Apache может ограничить обслуживание файлов файлами .htaccess
, но Apache применяет это не в Linux, а в принудительном порядке. Файлы .htaccess
не контролируют то, на что может смотреть PHP-скрипт, а только то, какие файлы могут обслуживаться через прямые HTTP-запросы из браузера.
Так:
Следите за обновлениями ОС.
На самом деле вы должны запустить Owncloud в отдельной физической (или виртуальной) системе (еще один пи). Тем не менее, если вы просто экспериментируете или тестируете, или внимательно относитесь к тому, с кем вы делитесь своим Owncloud IP, это должно быть относительно нормально.
Следите за журналами вашего веб-сервера (/var/log/apache2
в Debian). Вы можете посмотреть на goaccess
который может дать вам несколько простых для понимания отчетов.
Данные, которые вы храните в Owncloud и в этой системе в целом, должны регулярно создаваться резервные копии, а копии храниться в этой системе.
Файлы, которые вы никоим образом не хотите видеть Owncloud или веб-серверу, должны иметь разрешения, запрещающие доступ к группе www-data
и пользователям.