Stevie Wonder - I Wish (oriģinālā versija)

Es palaidu Apache Worker-MPM, PHP 5.3.2 un FCGID.

Apache darbojas labāk nekā iepriekš, taču es pamanīju, ka ir apache process, kas darbojas kā root, un otrais process, kas darbojas gan kā root, gan kā wwwdata. Pārējie procesi darbojas kā wwwdata.

Vai kāds jau ir saskāries ar to un vai tas ir droši?

  • Kā viens no apache procesiem darbojas kā divi lietotāji root un wwwdata? Lietotājs, ar kuru tas darbojas, ir iestatīts galvenajā konfigurācijas failā. Es pārbaudītu jūsu servera piekļuves žurnālus (nevis apache), pārbaudītu piekļuvi / lietotāju / lietojumprogrammu žurnālus mapē / var / log un redzētu, vai redzat kaut ko aizdomīgu
  • Neviens žurnālu kopums nesniedz neko neparastu. Man nav ne jausmas, kā tas tā darbojas.
  • @Anagio "Kā viens no apache procesiem darbojas kā divi lietotāji root un wwwdata?"Es nedomāju, ka runa ir par vienu procesu, kas darbojas kā divi atšķirīgi lietotāji (tas nedarbotos), bet vienkārši par diviem procesiem, kas darbojas kā dažādi lietotāji. Tas ir normāli.
  • @Bruno Procesu sarakstā ir uzskaitīti daudzi Apache procesi. Ir viens, kura lietotājs ir root, un viens, kura lietotājs ir "root, wwwdata" Tas vienkārši izskatās. Es neatceros, ka kādreiz būtu redzējis divus šādus lietotāju vārdus.
  • @flink, kuru komandu izmantojat procesu uzskaitīšanai?

Apache Httpd sākas kā process, kuru vada root lai varētu klausīties porti <1024 (80 - HTTP un 443 - HTTPS). Normāli lietotāji to nevar izdarīt.

Turklāt palaišanas laikā daži konfigurācijas faili ir lasāmi tikai ar root. Piemēram, jūsu Apache lietotājs (piem., www-data) nevajadzētu būt iespējai lasīt jūsu privātās atslēgas failu, ja esat konfigurējis SSL.

Ir labi, ja nedarbojat visu kā root: tādā veidā kļūda vai apdraudēts pakalpojums nevarētu nodarīt tik lielu kaitējumu sistēmai kā palaist kā root.

REDIĢĒT:

(Es tikko pieņēmu www-data tā vietā wwwdata, bet tas nav svarīgi, tas darbosies kā lietotājs, kuru iestatījāt darbībai.)

Neviens žurnālu kopums nesniedz neko neparastu. Man nav ne jausmas, kā tas tā darbojas.

Tas vienkārši darbojas šādā veidā: tas sāk procesu kā root un pēc tam citus lietotājus piesaista kā izvēlēto lietotāju.

Ja iegūstat saknes procesa ID (piemēram, ar ps auwx | grep apache2vai grep httpd atkarībā no sadalījuma), pēc tam palaidiet pstree -p -u THE_PROCESS_ID, jums vajadzētu skaidri redzēt hierarhiju. Vecāku procesam vienmēr vajadzētu darboties pastāvīgi (pretējā gadījumā jūs arī nogalinātu tā bērna procesus).

Skatīt User dokumentācija (Apache MPM kopējās direktīvas):

Ja tomēr serveri sākat kā root, tad ir normāli, ja vecāku process turpina darboties kā root.

  • 1 www-data UID un GID ir zem 1000, ko suexec / fcgid neatļauj, tāpēc es visu izveidošanai izveidoju jaunu lietotāju wwwdata ar augstāku UID un GID.
  • Tā bija lieliska informācija. Man ir nepieciešams nopietns komandrindas pētījums. Paldies!

strādāja par jums: Charles Robertson | Vēlies ar mums sazināties?