Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: организация прав web-сервера
Покинул форум
Сообщений всего: 55
Дата рег-ции: Март 2009
Помог: 0 раз(а)
настраиваю сервер для локального (пока) тестирования сайтов. апач запустил, mysql, php поставил. аналогичная конфигурация под win на той же машине давно настроена, хотелось бы с теми же проектами работать в ubuntu, благо ide eclipse это позволяет.
Как я понимаю в unix надо создать отдельных пользователей для каждого из запускаемых на сервере процессов. что есть:
пользователя apache создал
группа mysql уже существует
есть ещё некая www-data, что с ней делать?
как быть с php?
Собстенно хотелось бы грамотно организовать пользователей и права доступа, т.к. линукс пользуюсь без году неделя вопросов возникает много, а понимания логики ещё мало.
Благодарен доступному распедаливанию темы и указаниям что почитать
Мелкий
Отправлено: 17 Апреля, 2011 - 15:58:35
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Быколай пишет:
Как я понимаю в unix надо создать отдельных пользователей для каждого из запускаемых на сервере процессов.
Уже сделано менеджером пакетов. Руками этим надо заниматься только при нестандартной настройке, например, при сборке из исходников.
Быколай пишет:
есть ещё некая www-data, что с ней делать?
Предназначен как раз для HTTP-серверов.
Быколай пишет:
как быть с php?
скорей всего установлен как модуль апача, следовательно - ничего.
-----
Быколай
Отправлено: 17 Апреля, 2011 - 19:12:41
Новичок
Покинул форум
Сообщений всего: 55
Дата рег-ции: Март 2009
Помог: 0 раз(а)
Хорошо, спасибо. Приступил к настройке апача. Всё оказалось несколько мутнее чем в win - символические ссылки на сайты, включение сайтов...
теперь такая непонятка: как уже сказал есть логический диск с сайтами. сейчас он у меня примонтирован в /home/server/ - полные права к этой папке у рута и plugdev.
правильно будет перемонтировать её в свой домшний каталог? или как?
меня если честно, как человека прожившего всю сознательную жизнь под win всё это несколько сбивает с толку.
EuGen
Отправлено: 17 Апреля, 2011 - 19:55:33
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Я бы рекомендовал разделять домашние каталоги и каталоги с веб-проектами, так как много чего хранится в домашнем каталоге в директориях, начинающихся с ".".
Например, .ssh хранит все Ваши ключи. И, стало быть, если корневой каталог этого пользвателя будет доступен через веб, ни к чему хорошему это явно не приведет. А уж если там еще и есть права на запись.. В общем, лучше разделять эти два понятия - каталог пользователя и каталог веб-проектов.
-----
Быколай
Отправлено: 17 Апреля, 2011 - 21:18:45
Новичок
Покинул форум
Сообщений всего: 55
Дата рег-ции: Март 2009
Помог: 0 раз(а)
EuGen пишет:
Я бы рекомендовал разделять домашние каталоги и каталоги с веб-проектами, так как много чего хранится в домашнем каталоге в директориях, начинающихся с ".".
Например, .ssh хранит все Ваши ключи. И, стало быть, если корневой каталог этого пользвателя будет доступен через веб, ни к чему хорошему это явно не приведет. А уж если там еще и есть права на запись.. В общем, лучше разделять эти два понятия - каталог пользователя и каталог веб-проектов.
вот я тоже так понимаю. и куда следует запихать каталог с сайтами: создать отдельного пользователя aka server? или как-то ещё?
EuGen
Отправлено: 17 Апреля, 2011 - 21:59:33
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Да, создайте пользователя (классически www-data) и размещайте проекты в отдельном каталоге (у меня это обычно /var/www). Каждый проект - отдельный виртуальный хост.
Веб-сервер должен быть сконфигурирован на работу от имени этого пользователя.
-----
Быколай
Отправлено: 18 Апреля, 2011 - 18:51:39
Новичок
Покинул форум
Сообщений всего: 55
Дата рег-ции: Март 2009
Помог: 0 раз(а)
EuGen пишет:
Да, создайте пользователя (классически www-data) и размещайте проекты в отдельном каталоге (у меня это обычно /var/www). Каждый проект - отдельный виртуальный хост.
Веб-сервер должен быть сконфигурирован на работу от имени этого пользователя.
www-data есть уже такая группа. как определить от чьего имени работает апачь?
и ещё такой вопрос: я в /var/www создал ссылку на htdocs которая находится в недрах виндового логического диска с сервером... это будет работать? просто не хотелось бы сносить сервер с проектами который уже успешно настроен в winxp.
для файлов в /var/www/ получилось.
в системном мониторе проверил владельца процессов апача, прикрепляю. это нормальное состояние? Прикреплено изображение (Нажмите для увеличения)
В убунту по умолчанию отключена учетка root'а (можно и включить).
Вообще в убунту кривовато придумали так сделать. Хотя может и от кривых рук сразу. А то что потом геморно входить под root'ом - уже нюансы.
Чтобы стать КАК root, пишем один раз:
(пароль юзера попросит)
и выполняем все нужные действия без всяких sudo.
-----
EuGen
Отправлено: 19 Апреля, 2011 - 07:41:33
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
DeepVarvar пишет:
2. sudo? А зачем он тут? Он нужен один раз для входа "как root"
Вы неправы. sudo для того и нужен, чтобы не работать под пользователем root. root не предназначен для обычной работы, потому все операции, для которых нужны супер-привилегии, нужно делать именно через sudo
Символическую ссылку рекомендую просто пересоздать, системой для нее всегда выставляются права 777.
Для проверки же, от имени кого исполняется веб-сервер, нужно выполнить
ps aux | grep apache
или
ps aux | grep httpd
(зависит от дистрибутива)
-----
DeepVarvar
Отправлено: 19 Апреля, 2011 - 08:21:36
Активный участник
Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Помог: 353 раз(а)
EuGen Я имел виду зачем повторять этот sudo в каждой команде (если необходимо выполнить несколько операций), уже после того как стали а-ля root.
-----
EuGen
Отправлено: 19 Апреля, 2011 - 09:11:47
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
Затем, что это - норма. Обычное правило безопасности.
Вам тоже советую отвыкать работать под root.
-----
Мелкий
Отправлено: 19 Апреля, 2011 - 11:32:57
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
EuGen, однако предварять каждую команду sudo не столь удобно (как минимум 5 лишних символов печатать) и имеет такой недостаток, как отключение автокомплита путей для адресов, недоступных простым смертным, невозможность перенаправить вывод от имени рута к-л.
Само собой, я говорю про этап настройки сервера/рабочей_машины (правка конфигов, установка нужных пакетов, usermod -L root, в общем, когда нужно много команд от рута сразу), а не про повседневное использование.
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
sudo -i - конечно допустимо на этапе настройки. Чаще всего так и делаю (когда нет риска повредить данные - их нет еще)
Но про обычное использование - мне проще использовать sudo, чем думать о том, "что, если..."
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
Главная
Помощь
Поиск
Пользователи
Форумы портала PHP.SU » Серверное администрирование » Администрирование *nix (Модератор: EuGen)
Описание: ubuntu+apache+mysql+php
