1. Zuhause
  2. Frage und Antwort
  3. Apache läuft als root vs. neuer Benutzer

Apache läuft als root vs. neuer Benutzer

2017-08-26 3 views
0

Aus der Apache-Dokumentation habe ich gelesen, dass Apache zunächst als root ausgeführt werden muss, um dann zu dem Benutzer zu wechseln, der von der User-Direktive definiert wurde, um Anfragen zu bedienen.Apache läuft als root vs. neuer Benutzer

Allerdings lese ich auch immer noch aus der Apache-Dokumentation, dass die empfohlene Strategie darin besteht, einen neuen Benutzer und eine neue Gruppe zu erstellen, die spezifisch für die Ausführung des Servers sind.

Das ist ein bisschen verwirrend für mich. Wenn Apache als root ausgeführt werden muss, warum benötige ich einen neuen Benutzer? Bezieht sich dies auf den Webmaster, der den Server ausführt? Denn sonst sehen die beiden Aussagen etwas widersprüchlich aus.

Quelle

2017-08-26 Simus

Antwort

0

Lassen Sie mich von Ihrer eigenen Frage zitieren:

ich gelesen, dass Apache als root anfänglich ausgeführt werden muss, um dann auf die von der Anweisung User definiert Benutzer zu wechseln Anfragen zu bedienen.

Korrekt.

So impliziert, dass es ein anderes (nicht root) Benutzerkonto sein muss wechseln ...

Aber ich habe auch gelesen, noch von der Apache-Dokumentation, dass die empfohlene Strategie zu schaffen ein neuer Benutzer und eine neue Gruppe, die spezifisch für die Ausführung des Servers ist.

Wieder korrekt.

Die Empfehlung ist, einen Benutzer und eine Gruppe speziell für Apache zu erstellen, anstatt einen vorhandenen Benutzer/Gruppe zu verwenden.

Kein Widerspruch bisher.

Wenn Apache als root ausgeführt werden muss, warum brauche ich einen neuen Benutzer?

Apache muss starten als root.

Dann muss wechseln zu einem anderen Benutzer.

Warum?

  1. Es muss als root gestartet werden, da einige der Ersteinstellungen nur durchgeführt werden können, solange der Prozess erhöhte Rechte hat.

  2. Es muss zu einem anderen Konto wechseln, da es unsicher ist, mit erhöhten Rechten weiter zu laufen. Warum? Denn wenn Hacker einen Exploit im Apache-Prozess finden, der als root läuft, haben sie eine root-Kompromittierung erreicht. (Das ist ein Hack der schlimmsten Art ...)

Kurz gesagt, es gibt keinen Widerspruch.

Quelle

2017-08-26 12:46:35

+0

Ich verstehe völlig, was Sie sagen. Ich war verwirrt, weil hier https://www.w3.org/Security/Faq/wwwsf3.html empfohlen wird, einen neuen Benutzer für den Webmaster und eine neue Gruppe für die HTML-Autoren zu erstellen. Daher ist der hier erwähnte www-Benutzer NICHT der Benutzer, der speziell für Apache erstellt wurde?Oder ist es? Das sind meine Zweifel. – Simus

Verwandte Themen

 Verwandte Themen