Предоставление апачского доступа к подкаталогу в корневом каталоге без доступа к корневому каталогу
Я выполняю рабочий стол Ubuntu 11.04 с зашифрованными корневыми каталогами. Я делаю техническую разработку на своем компьютере, и я хочу иметь свой webroot каталог, чтобы быть в рамках моего корневого каталога, таким образом, это шифруется с остальной частью моего корневого каталога. Поскольку я - единственное использование машины, я хочу настроить Apache для указания на это непосредственно.
Текущий я изменился /var/www папка в символьную ссылку на рабочую область в моем dir точильного камня: /home/valorin/workspace
Однако это бросает 403 Запрещенных ошибки в апача.
Я добавил своего пользователя в www-data группа и набор владение и полномочия на папке рабочей области:
drwxrwxr-x 2 valorin www-data 4096 2011-04-23 10:02 workspace
Но единственный способ, которым я могу заставить это работать, состоит в том, чтобы изменить мою домашнюю группу dir, чтобы быть www-данными и установить полномочия также. Я действительно не хочу делать это, поскольку это означает, что Apache имеет доступ к моему домашнему dir и мог возможно использоваться кем-то в моей сети для вхождения в мои персональные данные.
Кто-либо знает, как я могу решить эту проблему?
1 ответ
Этому ответили на AskUbuntu для меня, но я отправлю здесь в пользу людей не-Ubuntu:
Можно оставить владение dir $HOME в покое. Вы не должны устанавливать его на www-данные. То, что действительно необходимо сделать, гарантируют, что Apache имеет, выполняют полномочия на $HOME и всем выше его. Так, Вы могли сделать что-то вроде этого:
"$HOME" chmod 751 sudo chmod 751 / домой
Однако то, что $HOME шифруется, могло бы создать основные проблемы для Apache, если Вы не можете так или иначе настроить Apache для использования надлежащего ключа расшифровки.
Править:
Установка выполняется, полномочия на каталоге означает только, что можно получить доступ к чему-то в каталоге, если Вы уже знаете его имя и если то, к чему Вы пытаетесь получить доступ также, имеет корректные полномочия. Так установка глобального x-bit на $HOME не является слишком большой угрозы безопасности, пока все Ваши другие файлы имеют разумные полномочия. Вы могли бы хотеть изучить свой umask, чтобы быть уверенными.