Apache2在Ubuntu上如何权限设置

Ubuntu 上 Apache2 权限设置实操指南

一 基础权限与所有权

• 确认 Apache 运行用户与组：通常为 www-data。可查看 /etc/apache2/envvars 中的 APACHE_RUN_USER/APACHE_RUN_GROUP，或用命令 ps aux | grep apache2 验证。
• 设置网站目录所有权（以 /var/www/html 为例）：
  • sudo chown -R www-data:www-data /var/www/html
• 设置目录与文件权限：
  • 目录：sudo find /var/www/html -type d -exec chmod 755 {} \;（所有者 rwx，组和其他 rx）
  • 文件：sudo find /var/www/html -type f -exec chmod 644 {} \;（所有者 rw，组和其他 r）
• 说明：以上权限适合大多数 PHP/静态站点；上传目录需额外“写”权限（见下文）。

二 Apache 运行身份与目录访问控制

• 如需变更运行身份，编辑 /etc/apache2/envvars：
  • export APACHE_RUN_USER="www-data"
  • export APACHE_RUN_GROUP="www-data"
  • 变更后重启：sudo systemctl restart apache2
• 在虚拟主机或全局配置中为目录设置访问控制（示例）：
  • <Directory /var/www/html>
    • Options Indexes FollowSymLinks
    • AllowOverride All（如需 .htaccess）
    • Require all granted
  • </Directory>
• 常见场景：
  • 限制管理后台仅内网访问：
    • <Location "/admin"> Require ip 192.168.1.0/24 </Location>
  • 基础 HTTP 认证：
    • 启用模块：sudo a2enmod auth_basic authn_file
    • 创建密码文件：sudo htpasswd -c /etc/apache2/.htpasswd myuser
    • 配置：
      • <Location "/admin"> AuthType Basic AuthName "Restricted" AuthUserFile /etc/apache2/.htpasswd Require user myuser </Location>
• 修改配置后重启服务：sudo systemctl restart apache2。

三 上传目录与特殊目录的权限

• 上传目录（如 /var/www/html/uploads）需要 Apache 可写：
  • 推荐做法（更安全）：将目录所有者设为部署用户，组设为 www-data，仅对目录授予组写：
    • sudo chown -R youruser:www-data /var/www/html/uploads
    • sudo find /var/www/html/uploads -type d -exec chmod 775 {} \;
    • sudo find /var/www/html/uploads -type f -exec chmod 664 {} \;
  • 若必须让 Apache 完全拥有，可：
    • sudo chown -R www-data:www-data /var/www/html/uploads
    • sudo chmod -R 755 /var/www/html/uploads（目录）与 644（文件）
• 禁止执行脚本（上传目录常见需求）：
  • 在虚拟主机对该目录加：
    • <Directory /var/www/html/uploads>
      • Options -ExecCGI -Includes
      • AddHandler cgi-script .php .pl .py .sh .cgi
      • Require all granted
    • </Directory>
• 注意：避免使用 777；优先采用“用户属主 + 组写”的最小权限模型。

四 SELinux 与 AppArmor 安全模块

• Ubuntu 桌面/服务器常见为 AppArmor。检查状态：sudo aa-status。如需为 Apache 调整策略，可编辑相应配置并 sudo systemctl reload apparmor。
• 若系统启用 SELinux（部分发行版或自定义环境），可用：
  • 查看状态：getenforce 或 sestatus
  • 为 Web 内容设置类型：sudo chcon -Rv --type=httpd_sys_content_t /var/www/html
  • 临时禁用（不建议生产）：sudo setenforce 0
• 提示：SELinux 在 Ubuntu 上并非默认启用；若未使用 SELinux，可忽略相关步骤。

五 故障排查与常用命令

• 查看运行身份：ps aux | grep apache2
• 检查配置语法：sudo apache2ctl configtest
• 重载/重启服务：sudo systemctl reload apache2 或 sudo systemctl restart apache2
• 实时查看错误日志：sudo tail -f /var/log/apache2/error.log
• 防火墙放行（UFW）：sudo ufw allow 'Apache Full'（开放 80/443）
• 排查思路：先确认进程用户与目录所有权/权限，再核对虚拟主机 配置与访问控制规则，最后查看日志定位具体报错。