Ubuntu Apache怎样管理用户权限

Ubuntu 下 Apache 用户与权限管理

一运行身份与系统账号

Ubuntu 默认以专用系统账号 www-data 运行 Apache，可在 /etc/apache2/envvars 中查看与修改：
- 查看：grep -E ‘APACHE_RUN_USER|APACHE_RUN_GROUP’ /etc/apache2/envvars
- 修改：将 APACHE_RUN_USER 与 APACHE_RUN_GROUP 设为所需账号（如新建的部署账号），保存后执行：sudo systemctl restart apache2
变更运行账号后，需确保该账号对网站目录具备所需读写权限，否则会出现上传/写入失败或 403 错误。

二文件系统权限与所有权

原则：让网站文件的所有者/组与 Apache 运行账号匹配，并按“最小权限”设置模式位。
常用做法（示例将网站目录设为 /var/www/html）：
- 设置所有者与组：sudo chown -R www-data:www-data /var/www/html
- 设置目录权限：sudo find /var/www/html -type d -exec chmod 755 {} +
- 设置文件权限：sudo find /var/www/html -type f -exec chmod 644 {} +
若需让开发者账号（如 deploy）能直接更新文件，可将其加入 www-data 组并开启目录粘滞位：
- 加入组：sudo usermod -aG www-data deploy
- 目录粘滞位（便于多用户协作且不影响 Apache 访问）：sudo chmod 2775 /var/www/html
- 注意：文件一般保持 644，避免被 Web 进程误写；上传目录可单独放宽写权限（见下节）。

三目录访问控制与 .htaccess

在虚拟主机或目录块中使用 Require 指令进行访问控制（Apache 2.4+）：
- 示例：
  - 允许所有：Require all granted
  - 仅内网：Require ip 192.168.1.0/24
  - 组合条件：Require all granted 与 Require not ip 203.0.113.0/24
启用 .htaccess 覆盖需在对应 Directory 中设置 AllowOverride All，否则 .htaccess 规则不生效。
安全建议：
- 关闭目录浏览：Options -Indexes
- 限制脚本执行：在上传目录禁止解析 PHP
  - 示例：
    - <Directory “/var/www/html/upload”> Options -Indexes <FilesMatch “.(php|php[3-7])$”> Require all denied
修改配置后重载：sudo systemctl reload apache2。

四进阶运行账号切换与多用户协作

五安全加固要点

隐藏版本信息：在 /etc/apache2/apache2.conf 中设置
- ServerTokens Prod
- ServerSignature Off
目录与模块最小化：
- 关闭自动索引：Options -Indexes
- 禁用不需要的模块：sudo a2dismod module_name
启用并强制 HTTPS（示例思路）：
- 安装证书后配置虚拟主机监听 443，并使用 RewriteRule 将 HTTP→HTTPS
持续更新与监控：
- 定期更新系统与软件包：sudo apt update && sudo apt upgrade
- 关注日志：tail -f /var/log/apache2/error.log、access.log。

最新问答