我不确定这个问题是属于这里还是属于SO。如果需要,我可以把它移到那里。
在任何像样的 Apache 配置中,Apache 都会作为自己的 ID 运行;www-data例如。并且此 ID 将无权将CRUD文件列为其他操作系统帐户。这是出于安全设计。
我希望能够以某种方式将 Apache 列表或 CRUD 文件作为另一个操作系统帐户。例如,在帐户的主目录中列出文件或在帐户的主目录中创建新的文本文件。
我知道一种解决方案是使用文件/文件夹组权限,但我不能这样做,因为我无法处理文件/文件夹所有权或权限。
我查看了suEXEC、suPHP和php-fpm,但它们都不起作用,因为它们将以脚本所有者的身份运行脚本。就我而言,我正在运行类似cp或mv作为任意数量的操作系统帐户的命令。我可以使用这些工具的唯一方法是为每个操作系统帐户设置一个脚本。或者拥有一个属于root但听起来不安全的脚本。
于是我开始思考sudo。我可以授予www-data sudo操作系统帐户特权。
文件中的条目示例sudoers:
www-data ALL = (osAccount1) NOPASSWD: /bin/ls, /bin/mv
www-data ALL = (osAccount2) NOPASSWD: /bin/ls, /bin/mv
但这只是冒着风险。我无法指出如何或为什么——它只是感觉很难看。
有没有做我想做的事?
传统的用户组其他文件权限
chmodchownchgrp(该方法会因文件系统和版本而有所不同,但考虑使用 acl 支持和使用(重新)挂载文件系统,setfacl或者setrichacl为现有的 UGO 权限设置额外的 ACL,这将授予您的网络服务器所需的访问权限。https://en.wikipedia.org/wiki/Access_control_list
https://www.systutorials.com/docs/linux/man/7-richacl/