Запуск Apache не из-под root

0

2

Здравствуйте, уважаемые. Есть Debian, на котором апач почему-то запускается из-под рута. Хотя в /etc/apache2/apache2.conf :

# These need to be set in /etc/apache2/envvars
User ${APACHE_RUN_USER}
Group ${APACHE_RUN_GROUP}

В /etc/apache2/envvars:

export APACHE_RUN_USER=www-data
export APACHE_RUN_GROUP=www-data

А получается:

root@7th_odroid:~# ps aux | grep apach
root     23854  0.0  1.8 134644 18768 ?        Ss   09:16   0:02 /usr/sbin/apache2 -k start
root     26219  0.0  0.6 134676  6348 ?        S    10:24   0:00 /usr/sbin/apache2 -k start
root     26220  0.0  0.6 134676  6348 ?        S    10:24   0:00 /usr/sbin/apache2 -k start
root     26221  0.0  0.6 134676  6348 ?        S    10:24   0:00 /usr/sbin/apache2 -k start
root     26222  0.0  0.6 134676  6348 ?        S    10:24   0:00 /usr/sbin/apache2 -k start
root     26229  0.0  0.6 134676  6348 ?        S    10:25   0:00 /usr/sbin/apache2 -k start
root     26231  0.0  0.6 134676  6348 ?        S    10:25   0:00 /usr/sbin/apache2 -k start
root     26422  0.0  0.6 134676  6348 ?        S    10:45   0:00 /usr/sbin/apache2 -k start
root     26429  0.0  0.6 134676  6348 ?        S    10:45   0:00 /usr/sbin/apache2 -k start
root     26430  0.0  0.6 134676  6348 ?        S    10:45   0:00 /usr/sbin/apache2 -k start
root     27069  0.0  0.6 134676  6348 ?        S    11:36   0:00 /usr/sbin/apache2 -k start
owncloud 27332 11.0  1.4 140256 14864 ?        S    12:10   0:00 /usr/sbin/apache2 -k start

Почему апач работает от рута и как заставить запускаться от www-data? (запускается при старте системы)

Ссылка

←	Организация взаимного доверия с помощью SSL

Защита wi-fi посредством пердолинга

→

Пользователь-то есть такой? Что апач в логах пишет?

generator ★★★
(24.06.14 12:33:29 MSK)

mpm какой ? для itk оно всегда от рута запущено.

vel ★★★★★
(24.06.14 12:42:49 MSK)

По-идее, должен быть один процесс от рута, остальные от www-data.

Проверь, есть ли в apache2.conf сточки

User ${APACHE_RUN_USER}
Group ${APACHE_RUN_GROUP}

Убедись, что стартовый скрипт апача (/etc/init.d/apache2) на самом деле читает /etc/apache2/envvars.

Убедись, что пользователь www-data сущесвует в системе.

ddos3 ★
(24.06.14 12:57:24 MSK)

Ответ на: комментарий от generator 24.06.14 12:33:29 MSK

Пользователь есть - светится в /etc/passwd:

www-data:x:33:33:www-data:/var/www:/bin/sh

Апач в логах ничего интересного не пишет. Перезагружается красиво, без лишних слов, так сказать)

seventhsite
(25.06.14 11:21:18 MSK) автор топика

Ссылка

Ответ на: комментарий от ddos3 24.06.14 12:57:24 MSK

В конфиге есть такие строчки - я написал об этом в вопросе. В стратовом скрипте есть таке строчки:

if [ -z "$APACHE_ENVVARS" ] ; then
        APACHE_ENVVARS=$APACHE_CONFDIR/envvars
fi
export APACHE_CONFDIR APACHE_ENVVARS

Пользователь есть.

seventhsite
(25.06.14 11:23:12 MSK) автор топика

Ссылка

Ответ на: комментарий от vel 24.06.14 12:42:49 MSK

Ммм... Как узнать? Я ставил этот модуль для того, чтобы owncloud у меня работал от своего пользователя. Как видите - один процесс от него и работает. Получается из-за этого модуля апач запускается из-под рута и мне надо в конфиге каждого сайта прописывать нужного пользователя?

seventhsite
(25.06.14 11:29:25 MSK) автор топика

Ответ на: комментарий от seventhsite 25.06.14 11:29:25 MSK

Вычитал, создал php-файлик c содержимым:

<?php echo exec('id'); ?>

Так вот при отрытии его в браузере вижу:

uid=33(www-data) gid=33(www-data) groups=33(www-data)

Хотя в системе, получается, нет процессов, запущенных от этого пользователя:

root@7th_odroid:~# ps aux | grep www-data
root@7th_odroid:~#

Похоже, я не до конца понимаю как он работает... Или всё-таки так не должно быть?

seventhsite
(25.06.14 12:08:28 MSK) автор топика

Ссылка

Ответ на: комментарий от seventhsite 25.06.14 11:29:25 MSK

Да. В конфиге виртуалхоста должно быть такое:

AssignUserId www-data www-data

вместо www-data — имя того пользователя, которому принадлежит директория с owncloud'ом.

xfilx ★★
(25.06.14 12:54:16 MSK)

Ответ на: комментарий от xfilx 25.06.14 12:54:16 MSK

Для owncloud я как раз делал такое - как можно увидеть в моём первом сообщении, один процесс как раз работает от этого пользователя. А вот нормально ли, что остальные процессы от рута? Хотя, на самом деле, открывают файлы из-под www-data...

seventhsite
(25.06.14 13:47:57 MSK) автор топика

Ответ на: комментарий от seventhsite 25.06.14 13:47:57 MSK

так и должно быть

xfilx ★★
(25.06.14 16:03:33 MSK)

Ответ на: комментарий от seventhsite 25.06.14 11:29:25 MSK

itk это не модуль.

в itk можно указать дефолтный uid/gid.

Главная особенность этого mpm в том, что для vhost можно указать uid/gid.

vel ★★★★★
(25.06.14 16:26:22 MSK)

Ссылка

Ответ на: комментарий от seventhsite 25.06.14 13:47:57 MSK

А вот нормально ли, что остальные процессы от рута?

Нормально. Иначе как оно будет id менять?

~~xtraeft~~ ★★☆☆
(25.06.14 17:01:00 MSK)

Ссылка

Ответ на: комментарий от xfilx 25.06.14 16:03:33 MSK

Благодарю за ответы! Тогда другой вопрос из той же оперы - как запретить доступ к системным файлам? Сейчас я делаю скрипт вида

<?php
 readfile('/etc/passwd');
?>

и он успешно исполняется - вижу в браузере всё содержимое. Как не дать зловредному скрипту выйти за пределы своей директории?

seventhsite
(26.06.14 09:49:53 MSK) автор топика

Ответ на: комментарий от seventhsite 26.06.14 09:49:53 MSK

php? open_basedir например

~~xtraeft~~ ★★☆☆
(26.06.14 19:08:33 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Организация взаимного доверия с помощью SSL

Security

Защита wi-fi посредством пердолинга

→

Похожие темы