apache在ubuntu上的权限管理怎么做

Ubuntu 上 Apache 权限管理实操指南

一 基础安全原则与运行身份

• Ubuntu 上 Apache 通常以系统用户 www-data 运行，可通过以下方式确认：
  • 查看进程：ps aux | grep apache2
  • 查看运行身份：在 /etc/apache2/envvars 中检查 APACHE_RUN_USER 与 APACHE_RUN_GROUP
• 如需变更运行身份，编辑 /etc/apache2/envvars：
  • export APACHE_RUN_USER=你的用户
  • export APACHE_RUN_GROUP=你的组
  • 变更后重启：sudo systemctl restart apache2
• 建议以最小权限运行：仅对需要写入的目录赋予 www-data 写权限，其他保持只读。

二 文件与目录权限设置

• 推荐默认权限：
  • 目录：755（所有者 rwx，组和其他 rx）
  • 文件：644（所有者 rw，组和其他 r）
• 快速设置示例（网站根目录假设为 /var/www/html）：
  • 设定所有者：sudo chown -R www-data:www-data /var/www/html
  • 设定目录权限：sudo find /var/www/html -type d -exec chmod 755 {} \;
  • 设定文件权限：sudo find /var/www/html -type f -exec chmod 644 {} \;
• 需要写入的目录（如 uploads、cache、var）可单独放宽：
  • 目录：chmod 770 或 750
  • 文件：chmod 660 或 640
  • 示例：find /var/www/html/uploads -type d -exec chmod 770 {} \; && find /var/www/html/uploads -type f -exec chmod 660 {} \;
• 更安全的做法是将网站文件属主设为部署用户，组设为 www-data，并对需写目录给组写权限：
  • sudo chown -R deploy:www-data /var/www/html
  • sudo find /var/www/html -type d -exec chmod 750 {} \;
  • sudo find /var/www/html -type f -exec chmod 640 {} \;
  • sudo find /var/www/html/{uploads,cache,var} -type d -exec chmod 770 {} \;
  • sudo find /var/www/html/{uploads,cache,var} -type f -exec chmod 660 {} \;
  • 如需编辑器/部署工具保持组写，可设置用户组 sticky：sudo chmod g+s /var/www/html。

三 基于 Apache 的访问控制

• 基本目录授权（在虚拟主机或 /etc/apache2/apache2.conf 的 <Directory> 中）：
  • 开放访问：

    <Directory /var/www/html>
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>
    

  • 关闭访问：

    <Directory /var/www/secret>
        Require all denied
    </Directory>
    

• 基于 IP 的访问控制：

  <Location "/admin">
      Require ip 203.0.113.10 198.51.100.0/24
  </Location>
  

• 基于 HTTP 基本认证的目录：
  • 启用模块：sudo a2enmod auth_basic authn_file
  • 创建密码文件：sudo htpasswd -c /etc/apache2/.htpasswd alice
  • 配置：

    <Directory "/var/www/html/admin">
        AuthType Basic
        AuthName "Restricted Area"
        AuthUserFile /etc/apache2/.htpasswd
        Require valid-user
    </Directory>
    

• 修改配置后检查并重载：sudo apache2ctl configtest && sudo systemctl reload apache2。

四 多用户协作与最小权限实践

• 多用户开发/运维时，推荐：
  • 将网站目录属主设为部署用户（如 deploy），属组设为 www-data
  • 目录默认 750，文件 640
  • 仅对需要写入的子目录（如 public/uploads）设置 770/660 并加入 www-data 组
  • 避免使用 777；必要时用 ACL 进行精细化授权（如 setfacl -m u:someuser:rwx /path）
• 若由 PHP-FPM 处理脚本执行，还需确保 PHP-FPM 运行用户/组与目录权限匹配，否则会出现上传或写入失败。

五 安全加固与排错

• 安全模块与系统策略：
  • Ubuntu 默认使用 AppArmor，可通过 sudo aa-status 查看状态；必要时为 /usr/sbin/apache2 配置或调整策略后再 sudo systemctl reload apparmor
  • 如使用 SELinux（非 Ubuntu 默认），需为目录设置正确的 httpd_sys_content_t 等上下文
• 防火墙放行 Web 服务：
  • UFW：sudo ufw allow 'Apache Full'
• 日志与语法检查：
  • 语法：sudo apache2ctl configtest
  • 错误日志：sudo tail -f /var/log/apache2/error.log
  • 访问日志：sudo tail -f /var/log/apache2/access.log
• 变更生效：
  • 重载或重启：sudo systemctl reload apache2（配置测试通过后）或 sudo systemctl restart apache2。