欢迎您,零度科技专业海外服务器租用
公司电话: 24小时电话: 

当前位置:首页>新闻动态>服务器配置与维护

目录导航

Apache多站点分用户权限设置/按站点设置不同运行用户

香港硬防(2G)机房 添加于 2015-12-18  
服务器配置与维护
分享下apache的每个站单独分配一个用户,先假设下,系统 /data 目录下 有www.abc.com 和www.bbs.com ,要实现的目的就是比如www.abc.com被入侵,入侵者看不到并且修改不了www.bbs.com站内的文件。www.abc.om 用abc用户,www.bbs.com用bbs用户。

apache装完都有www-data用户www-data用户组,所以网站都是以这个用户用户组运行,要权限单独出来先建两个用户。
useradd -g www-data -d /dev/null -s /usr/sbin/nologin abc
useradd -g www-data -d /dev/null -s /usr/sbin/nologin bbs

然后 apt-get install apache2-mpm-itk (安全权限分离的安全模块)

再添加虚拟主机时候添加下指定用户
<VirtualHost *:80>
DocumentRoot “/var/www/www.abc.com”
ServerName www.abc.com
CustomLog /var/log/apache2/www.abc.com.log combined
AssignUserId abc www-data
<Directory “/var/www/www.abc.com”>
allow from all
Options -Indexes
</Directory>
</VirtualHost>

然后重启下apache,这样每个网站运行用户就分离出来了,然后就是设置目录以及文件权限了,

chown root.root /data
chmod 751 /data  (这样就可以禁止其它组查看该目录的权限,入侵者就看不到/data下有那些网站目录,当然你可以来个711 什么的)
cd /data
chown abc.www-data www.abc.com
chmod 500 www.abc.com
cd www.abc.com
chmod -R 700 upload 因为这个目录要上传,所以要给写人的权限
chmod -R 500 images 图片目录给500就可以,不需要写入,400也应该可以
chmod -R 500 *.php 防止php或者html被挂马,给个500或者400就行
就这些,就算自己做了个笔记,以后这块的安全设置还是用的着。

后续一:

经过几天的运行感觉这模块会限制流量,服务器只能跑到10M的流量,怎么都不会超过这个值,然后网站打开很慢,开始以为机房限速了,网线和接口都换 了还是不能超过10M,再怀疑网卡问题,服务器两个网卡对换下还是不行,因为前面是LVS,我就把这台后端给切掉,用另外一台4G内存没装这个模块的服务 器跑,到到10多M速度照样很快,开始真有点想不通,不可能是系统问题,再说也是8G内存,比4G大了一倍,过了一天才想到这个问题,后来 aptitude purge apache2-mpm-itk  后才恢复,看样子 apt-get的确实有问题,即使网站没AssignUserId abc www-data 没调用这个模块都会限速。所以这个模块需要编译安装试下。

后续二:

过了几天,去GG搜了搜,发现国外很多论坛关于apache这模块,有这样的设置:
<IfModule itk.c>
AssignUserID www-data www-data
StartServers 5
MinSpareServers 10
MaxSpareServers 20
ServerLimit 1500
MaxClients 1500
MaxRequestsPerChild 10000
</IfModule>
这才让我恍然大悟,apache2ctl -l 查看下,发现还是用的 itk.c 模块,所以 aptitude purge apache2-mpm-itk  后才让他恢复默认的 mpm_prefork 模式。
# apache2ctl -l
Compiled in modules:
core.c
mod_log_config.c
mod_logio.c
itk.c
http_core.c
mod_so.c

到零度科技查看原文:http://www.ldisp.com/a/server-manage/2015/apache-site-user.shtml

上一篇:六核CPU安装SQL Server 2005报错解决
下一篇:没有了

 
了解零度?

零度科技主营全球服务器租用,如果您有服务器租用需求请联系

海外服务器租用

推荐香港、美国、韩国。提供站群服务器、高防服务器租用

海外特价服务器

关注零度特价服务器频道,了解全球特价服务器。

0

业务咨询

    技术服务

      特价活动
        全站搜索
        热门搜索:
        会员
        0通知
        客服
        0特价
        搜索
        TOP
        香港高防服务器,远程桌面,韩国服务器,nginx,反向代理