このスレッドは解決済です(未解決に戻す場合はこちら)
<<戻る

ユーザー権限の考え方 このメッセージに返信する
日時: 2010/06/08 23:56
名前: 太郎
URL:
初心者質問でとても恥ずかしいのですが、ユーザー権限の考え方がよくわかりません。

/etc/passwdで
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
apache:x:48:48:Apache:/var/www:/sbin/nologin
で、
/var/www/html以下のファイル/ディレクトリのowner:groupがapache:apache、権限775だったとき、
クライアント端末で利用するftpソフトのユーザーとして
どのようにユーザー設定したら良いのでしょうか?

adduser -d /var/www/html -g apache -s /sbin/nologin username1

で良いのですか?
アップロードやダウンロードする領域のファイルのオーナーのグループ(apache)に入って
なければならないのですよね?
ユーザーftpの方の影響をどう考えたら良いのかわからないです…
14:50を新規ftpユーザの設定の一部として考えなくて良いのでしょうか
記事編集 編集
Re: ユーザー権限の考え方 このメッセージに返信する
日時: 2010/06/09 07:18
名前: stranger
URL: http://ja.528p.com/
オプション -g apacheの場合
/etc/passwd
username1:x:501:48::/var/www/html:/sbin/nologin
/etc/group
apache:x:48:
となると思う(ユーザID501は個人の設定によってかわる)
FTPアップロードしたファイルのユーザ:グループはusername1:apacheになるとおもう

オプション -G apacheの場合
/etc/passwd
username1:x:501:501::/var/www/html:/sbin/nologin
/etc/group
apache:x:48:username1
となると思う
FTPアップロードしたファイルのユーザ:グループはusername1:username1になるとおもう

どちらも/var/www/htmlのパーミッションは770以上が必要
実際に表示等がうまくいくかは自分で検証してください

CentOSの場合 ログインシェルを/sbin/nologinに設定すると
ftpログイン可でコンソールログイン不可のユーザになります

私的には
proftpdの専用パスワード設定で apacheを登録し apacheでアクセスしています
/etc/passwd /etc/groupに書き込まないし、パスワードも専用ファイルに暗号化されて保存されます
FTPアップロードしたファイルのユーザ:グループはapache:apacheになり
パーミッション(ディレクトリ711 ファイル640)で実働

グループにファイルの書込権、スクリプトの実行権を与えたくないので
いろいろ考えたあげくにそうなりました
記事編集 編集
Re: ユーザー権限の考え方 このメッセージに返信する
日時: 2010/06/09 12:47
名前: 太郎
URL:
なるほど、apacheをユーザにしてるんですか。
サーバのownerをそのままユーザーにするのってセキュリティ的に
怖いような気がしてどうも踏み出せないんですが、問題はないんでしょうか…

なるべく書き込み権や実行権を広げたくないのは同じ気持ちだし、
自分以外にftp権限渡す相手がいるわけでもないし、
chrootで制限かけてたら大丈夫なのかな


記事編集 編集
Re: ユーザー権限の考え方 このメッセージに返信する
日時: 2010/06/09 16:24
名前: stranger
URL: http://ja.528p.com/
rootの管理者権限をもっているなら
自分のディレクトリへアップロードして、opensshでログインし
ファイルをコピーしてchownすれば良いです

サーバは私個人のものでproftpdは外部公開していないので
proftpd独自の認証方式でapacheを登録しています

通常の認証でapacheのパスワードを設定しないで良いこと
パスワードはproftpdの専用ファイルに暗号化されて記録されること
そのパスワードが解かってしまっても、 ftp接続だけ可能で
sshでログインできないし、通常のコンソールログインもできない
クライアントマシンのログインユーザはapacheである必要がないこと
proftpdのユーザとしてapacheでアクセスすれば
アップロードした時点でユーザ・グループをapache:apacheにchownしてくれること

どこにバグが潜んでいるかわからないので、セキュアなサイトには奨めません
記事編集 編集
Re: ユーザー権限の考え方 このメッセージに返信する
日時: 2010/06/09 16:29
名前: 太郎
URL:
なるほど、よくわかりました

自分はvsftpdを使ってるんですが、proftpdの方が賢い選択なのかもしれないですね
/etc/passwdとか手加えたくないし。
すごく役に立ちました、ありがとう。
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -