chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Dyskusje o wszystkim co służy ochronie systemu i danych przed nieautoryzowanym dostępem.
unrealx0
Piegowaty Guziec
Piegowaty Guziec
Posty: 21
Rejestracja: 07 lip 2014, 08:07
Płeć: Mężczyzna
Wersja Ubuntu: 14.04
Środowisko graficzne: Unity
Architektura: x86_64

chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: unrealx0 » 09 lut 2015, 14:58

Witam,

niby to nie jest serwer tylko zwykły pc ale dlaczego nie ma być zrobione dobrze. Tak więc tu się rodzi moje pytanie czy tak jest dobrze czy można to wykonać lepiej, user musi mieć możliwość tworzenia,edycji,usuwania katalogów w folderze public_html.

Kod: Zaznacz cały

chown -R nazwa_user:www-data /home/nazwa_user/public_html
chmod 755 /home/nazwa_user/public_html -R
Awatar użytkownika
enedil
Terminator
Terminator
Posty: 1313
Rejestracja: 08 wrz 2012, 16:54
Płeć: Mężczyzna
Wersja Ubuntu: 16.04
Środowisko graficzne: Unity
Architektura: x86_64
Kontakt:

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: enedil » 09 lut 2015, 18:39

Zmień grupę na www-data, dodaj usera go grupy i po sprawie.
Dobrze jest, psiakrew, a kto powie, że nie, to go w mordę!

~moderatorzy
unrealx0
Piegowaty Guziec
Piegowaty Guziec
Posty: 21
Rejestracja: 07 lip 2014, 08:07
Płeć: Mężczyzna
Wersja Ubuntu: 14.04
Środowisko graficzne: Unity
Architektura: x86_64

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: unrealx0 » 09 lut 2015, 18:55

Kod: Zaznacz cały

chown -R nazwa_user:www-data /home/nazwa_user/public_html
chmod 755 /home/nazwa_user/public_html -R
No ale chyba to już zrobiłem tak "nazwa_user:www-data". i pytam czy jest ok znaczy się ja wiem że to działa i robi to co chce chodzi bardziej o kwestie bezpieczeństwa.
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 4112
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: jacekalex » 09 lut 2015, 19:23

unrealx0 pisze:

Kod: Zaznacz cały

chown -R nazwa_user:www-data /home/nazwa_user/public_html
chmod 755 /home/nazwa_user/public_html -R
No ale chyba to już zrobiłem tak "nazwa_user:www-data". i pytam czy jest ok znaczy się ja wiem że to działa i robi to co chce chodzi bardziej o kwestie bezpieczeństwa.
Moim zdaniem lepiej będzie tak:

Kod: Zaznacz cały

chmod 711 /home/nazwa_user
chown -R nazwa_user:www-data /home/nazwa_user/public_html
chmod 2755 /home/nazwa_user/public_html
Podobnie do tej instrukcji:
https://forums.grsecurity.net/viewtopic ... 912#p13847

Pozdro
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
unrealx0
Piegowaty Guziec
Piegowaty Guziec
Posty: 21
Rejestracja: 07 lip 2014, 08:07
Płeć: Mężczyzna
Wersja Ubuntu: 14.04
Środowisko graficzne: Unity
Architektura: x86_64

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: unrealx0 » 09 lut 2015, 20:56

o widzisz dzięki
Awatar użytkownika
rob006
Wytworny Kaczor
Wytworny Kaczor
Posty: 417
Rejestracja: 28 paź 2007, 23:11
Płeć: Mężczyzna
Wersja Ubuntu: 12.04
Środowisko graficzne: Unity
Architektura: x86_64
Lokalizacja: Lublin
Kontakt:

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: rob006 » 09 lut 2015, 22:43

To zadziała, ale każdy nowy plik stworzony przez twojego usera znowu będzie miał twoją grupę i www-data może nie mieć do niego dostępu. Najprościej dodać www-data do grupy usera (jako dodatkową grupę), później restart serwera www. Dużo czystsze rozwiązanie niż zmiana głównej grupy usera.
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 4112
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: jacekalex » 10 lut 2015, 04:03

rob006 pisze:To zadziała, ale każdy nowy plik stworzony przez twojego usera znowu będzie miał twoją grupę i www-data może nie mieć do niego dostępu. Najprościej dodać www-data do grupy usera (jako dodatkową grupę), później restart serwera www. Dużo czystsze rozwiązanie niż zmiana głównej grupy usera.
Kiepski pomysł z tym dodawaniem www-data, bo Apache uzyska wtedy dostęp do całego folderu użytkownika, a zdaje mi się, że to nie jest najszczęśliwszy pomysł i chyba niezupełnie o to chodzi. ;-)
Chyba, żeby zastosować się do twojej rady, ale obciąć uprawnienia Apacha przy pomocy Apparmora albo SElinuska (likwidując w ten sposób otwartą dziurę), ale to już inna bajka i inny poziom abstrakcji. ;-)

Samemu Apachowi nie można wierzyć, że nie wyskoczy poza zdefiniowane drzewo katalogów (zwłaszcza z włączonym php), wystarczy zapuścić skaner Nikto, żeby się przekonać na własne oczy, jak to naprawdę działa. :twisted:

Pozdro
:craz:
Awatar użytkownika
rob006
Wytworny Kaczor
Wytworny Kaczor
Posty: 417
Rejestracja: 28 paź 2007, 23:11
Płeć: Mężczyzna
Wersja Ubuntu: 12.04
Środowisko graficzne: Unity
Architektura: x86_64
Lokalizacja: Lublin
Kontakt:

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: rob006 » 10 lut 2015, 09:23

jacekalex pisze:Kiepski pomysł z tym dodawaniem www-data, bo Apache uzyska wtedy dostęp do całego folderu użytkownika, a zdaje mi się, że to nie jest najszczęśliwszy pomysł i chyba niezupełnie o to chodzi. ;-)
Racja, ale zakładam że to serwer developerski, lepsze to niż kopanie się z uprawnieniami dla każdego nowego pliku. :D
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 4112
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: jacekalex » 10 lut 2015, 17:57

Racja, ale zakładam że to serwer developerski, lepsze to niż kopanie się z uprawnieniami dla każdego nowego pliku. :D
Co za kopanie z uprawnieniami? 2000 oznacza bit SGID, każdy tworzony plik i folder w środku dostaje grupę folderu nadrzędnego.
Np:

Kod: Zaznacz cały

mkdir public
sudo chown pacjent:nginx public
sudo chmod 2755 public
mkdir -p public/wordpress/themes
touch  public/wordpress/themes/index.html
Rezultat:

Kod: Zaznacz cały

ls -lR public/
public/:
razem 4
drwxr-sr-x 3 pacjent nginx 4096 02-10 17:51 wordpress

public/wordpress:
razem 4
drwxr-sr-x 2 pacjent nginx 4096 02-10 17:51 themes

public/wordpress/themes:
razem 0
-rw-r--r-- 1 pacjent nginx 0 02-10 17:51 index.html
SOA#1

Sznurki:
http://pl.wikipedia.org/wiki/Chmod
http://pl.wikipedia.org/wiki/Setuid
A szczególnie:
Wikipedia pisze:W przypadku katalogów atrybuty setuid oraz setgid mają odmienne znaczenie; w katalogach opatrzonych atrybutem setgid wszystkie nowotworzone wpisy (pliki, katalogi itp.) stają się własnością grupy, będącej właścicielem katalogu. Atrybut ten jest zazwyczaj dziedziczony przez nowotworzone podkatalogi.
To by było na tyle
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
Awatar użytkownika
rob006
Wytworny Kaczor
Wytworny Kaczor
Posty: 417
Rejestracja: 28 paź 2007, 23:11
Płeć: Mężczyzna
Wersja Ubuntu: 12.04
Środowisko graficzne: Unity
Architektura: x86_64
Lokalizacja: Lublin
Kontakt:

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: rob006 » 10 lut 2015, 19:26

Z tym że nie dotyczy to przenoszonych katalogów/plików z już przypisanymi uprawnieniami i właścicielem.
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 4112
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: jacekalex » 10 lut 2015, 19:41

"Wielki Problem"... :rotfl:

Kod: Zaznacz cały

#!/bin/bash
find /home/pacjent/public_html  -type d -exec chmod 755 '{}' \;
find /home/pacjent/public_html -type f -iname '*.php'  -exec chmod 755 '{}' \;
find /home/pacjent/public_html  -type f -iname '*.js'  -exec chmod 644 '{}' \;
find /home/pacjent/public_html  -type f -iname '*.jpg'  -exec chmod 644 '{}' \;
find /home/pacjent/public_html -type f -iname '*.gif'  -exec chmod 644 '{}' \;
find /home/pacjent/public_html -type f -iname '*.png'  -exec chmod 644 '{}' \;
find /home/pacjent/public_html -type f -iname '*.pdf'  -exec chmod 644 '{}' \;
find /home/pacjent/public_html -type f -iname '*.cgi'  -exec chmod 755 '{}' \;
find /home/pacjent/public_html -type d -iname 'tmp'  -exec chmod 1777 '{}' \;
find /home/pacjent/public_html  -type d -iname 'cache'  -exec chmod 1777 '{}' \;
Możesz sobie zapiać takiego skrypta do np Dnotify, Inotify, albo odpalać z palca, czy jeśli chcesz,
to z Crona co kwadrans też możesz. :twisted:

W każdym razie ten problem z przenoszeniem plików do folderu jest już trochę "z doopy wzięty". :rotfl:

I tak, jak chcesz posadzić np Wordpressa czy Joomlę, to musisz zrobić uprawnienia, chyba, że zrobi je automatycznie skrypt instalacyjny.
Bez tego żadna strona i tak nie będzie działać. :twisted:

To by było na tyle
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
Awatar użytkownika
rob006
Wytworny Kaczor
Wytworny Kaczor
Posty: 417
Rejestracja: 28 paź 2007, 23:11
Płeć: Mężczyzna
Wersja Ubuntu: 12.04
Środowisko graficzne: Unity
Architektura: x86_64
Lokalizacja: Lublin
Kontakt:

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: rob006 » 10 lut 2015, 20:28

To jest prosty i powszechny problem, tylko twoje rozwiązanie jest wydumane. ;] W praktyce nie chcę bawić się w pilnowanie uprawnień, ręcznie uruchamianie skryptów czy czekanie na crona. Dodanie www-data do grupy usera to banalne rozwiązanie, a ryzyko na developerskiej maszynie bez udostępnionego www na świat i tak jest minimalne. Przy uruchamianiu PHP przez cgi na uprawnieniach użytkownika problem uprawnień praktycznie znika. A że da się bezpieczniej to pewne, ale czy warto to już bym się spierał. ;]
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 4112
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: jacekalex » 11 lut 2015, 02:01

rob006 pisze:To jest prosty i powszechny problem, tylko twoje rozwiązanie jest wydumane. ;] W praktyce nie chcę bawić się w pilnowanie uprawnień, ręcznie uruchamianie skryptów czy czekanie na crona. Dodanie www-data do grupy usera to banalne rozwiązanie, a ryzyko na developerskiej maszynie bez udostępnionego www na świat i tak jest minimalne. Przy uruchamianiu PHP przez cgi na uprawnieniach użytkownika problem uprawnień praktycznie znika. A że da się bezpieczniej to pewne, ale czy warto to już bym się spierał. ;]
Przecież napisałem wyżej po polsku, że można www-data dodawać do grupy usera, o ile sam Apache i php są odseparowane od tego, czego widzieć nie powinny, Apparmorem, SElinuxem, Tomoyo albo Grsec-RBAC, i potencjalne zagrożenie wynikające z udostępnienia całego folderu pacjenta dla serwera WWW jest wyeliminowane na innym poziomie abstrakcji, bardziej szczegółowym, niż standardowy system uprawnień.

Szczegółowe profile ACL to standard na serwerach, a Ubuntu profil Appamora dla Apacha i PHP powinien mieć domyślnie włączony, choć jak to jest faktycznie, diabli wiedzą. :twisted:

To by było na tyle
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
unrealx0
Piegowaty Guziec
Piegowaty Guziec
Posty: 21
Rejestracja: 07 lip 2014, 08:07
Płeć: Mężczyzna
Wersja Ubuntu: 14.04
Środowisko graficzne: Unity
Architektura: x86_64

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: unrealx0 » 12 lut 2015, 17:08

próbuje tych ustawień ale nginx mi nie widzi strony. Tym razem jest to serwer na debianie.

w katalogu user/share/nginx/www widzi a jak zmienię mu na "root /home/user/public_html; " w etc/nginx/sites-available/ na public_html to nie widzi. Czyli wina chyba uprawnień.

Prawa ustawiłem takie.

Kod: Zaznacz cały

chmod 711 /home/nazwa_user
chown -R nazwa_user:www-data /home/nazwa_user/public_html
chmod 2755 /home/nazwa_user/public_html
Nawet próbowałem dodawać jako www-data:www-data nic nie pomaga

Kod: Zaznacz cały

root@vpsxxxxx:/home/user# ls -l
razem 4
drwxr-sr-x 2 www-data www-data 4096 lut 12 16:51 public_html
Edit: Nawet na chmod 777 public_html nie chce isc
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 4112
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: jacekalex » 12 lut 2015, 18:05

Logi Nginxa koza zjadła? ;)

Gdzie jest konfig Nginxa?
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
unrealx0
Piegowaty Guziec
Piegowaty Guziec
Posty: 21
Rejestracja: 07 lip 2014, 08:07
Płeć: Mężczyzna
Wersja Ubuntu: 14.04
Środowisko graficzne: Unity
Architektura: x86_64

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: unrealx0 » 12 lut 2015, 18:25

Przepraszam zapomniałem.
Ostatnie logi /var/log/nginx/error.log

Kod: Zaznacz cały

2015/02/12 16:30:56 [error] 6731#0: *1 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "yyy.xxx.pl"
2015/02/12 16:30:58 [error] 6731#0: *3 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:32:53 [error] 6731#0: *6 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:42:57 [error] 6731#0: *8 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:43:14 [error] 6731#0: *10 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:43:14 [error] 6731#0: *12 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:43:14 [error] 6731#0: *10 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:43:14 [error] 6731#0: *12 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:48:04 [error] 6731#0: *14 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:51:34 [error] 6731#0: *16 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:56:04 [error] 7033#0: *1 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:58:24 [error] 7033#0: *3 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:59:03 [error] 7033#0: *5 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 17:15:16 [error] 7033#0: *8 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 17:15:16 [error] 7033#0: *8 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 17:16:10 [error] 7033#0: *10 connect() failed (111: Connection refused) while connecting to upstream, client: 1xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 17:18:02 [error] 7033#0: *12 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 17:18:45 [error] 7033#0: *14 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx, server: xxx.pl, request: "GET / HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 17:22:01 [error] 7033#0: *16 connect() failed (111: Connection refused) while connecting to upstream, client: xxx.xxx.xx.xxx server: xxx.pl, request: "GET /index.php HTTP/1.1", upstream: "fastcgi://127.0.0.1:9000", host: "xxx.pl"
/etc/nginx/sites-available/default

Kod: Zaznacz cały

server {
        listen   80; ## listen for ipv4; this line is default and implied
        #listen   [::]:80 default_server ipv6only=on; ## listen for ipv6

        root /home/user/public_html; # tuj ak zmienie na user/share/nginx/www działa
        index index.php index.html index.htm;

        # Make site accessible from http://localhost/
        server_name xxx.pl;

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        location ~ \.php$ {
                fastcgi_split_path_info ^(.+\.php)(/.+)$;
        #       # NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini
        #
        #       # With php5-cgi alone:
                fastcgi_pass 127.0.0.1:9000;
        #       # With php5-fpm:
        #       fastcgi_pass unix:/var/run/php5-fpm.sock;
                fastcgi_index index.php;
                include fastcgi_params;
        }
}
nginx.conf

Kod: Zaznacz cały

user www-data;
worker_processes 1;
pid /var/run/nginx.pid;

events {
        worker_connections 768;
        # multi_accept on;
}

http {

        ##
        # Basic Settings
        ##

        sendfile on;
        tcp_nopush on;
        tcp_nodelay on;
        keepalive_timeout 65;
        types_hash_max_size 2048;
        # server_tokens off;

        # server_names_hash_bucket_size 64;
        # server_name_in_redirect off;

        include /etc/nginx/mime.types;
        default_type application/octet-stream;
##
        # Logging Settings
        ##

        access_log /var/log/nginx/access.log;
        error_log /var/log/nginx/error.log;

        ##
        # Gzip Settings
        ##

        gzip off;
        gzip_disable "msie6";

        # gzip_vary on;
        # gzip_proxied any;
        # gzip_comp_level 6;
        # gzip_buffers 16 8k;
        # gzip_http_version 1.1;
        # gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript;

        ##
        # nginx-naxsi config
        ##
        # Uncomment it if you installed nginx-naxsi
        ##  #include /etc/nginx/naxsi_core.rules;

        ##
        # nginx-passenger config
        ##
        # Uncomment it if you installed nginx-passenger
        ##

        #passenger_root /usr;
        #passenger_ruby /usr/bin/ruby;

        ##
        # Virtual Host Configs
        ##

        include /etc/nginx/conf.d/*.conf;

        include /etc/nginx/sites-enabled/*;
}
#mail {
#       # See sample authentication script at:
#       # http://wiki.nginx.org/ImapAuthenticateWithApachePhpScript
#
#       # auth_http localhost/auth.php;
#       # pop3_capabilities "TOP" "USER";
#       # imap_capabilities "IMAP4rev1" "UIDPLUS";
#
#       server {
#               listen     localhost:110;
#               protocol   pop3;
#               proxy      on;
#       }
#
#       server {
#               listen     localhost:143;
#               protocol   imap;
#               proxy      on;
#       }
#}

EDIT:

Ufff już jest dobrze to nie chmod na szczęście tylko php nie czyta. Dopiero teraz spróbowałem html i zadziałało. A taki byłem osrany....
Awatar użytkownika
jacekalex
Gibki Gibbon
Gibki Gibbon
Posty: 4112
Rejestracja: 17 cze 2007, 02:54
Płeć: Mężczyzna
Wersja Ubuntu: inny OS
Środowisko graficzne: MATE
Architektura: x86_64

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: jacekalex » 12 lut 2015, 22:27

Ufff już jest dobrze to nie chmod na szczęście tylko php nie czyta. Dopiero teraz spróbowałem html i zadziałało. A taki byłem osrany....
Jak będziesz stawiał cały serwer metodą Copy&Paste, bez kontrolowania, czy po każdej zmianie działa, i bez sprawdzania logów, to ani za trzy lata go nie skonfigurujesz do porządku.
A Nginx z Php-fpm jest tylko troszkę trudniejszy od Apacha, jak kiedyś spróbujesz w ten sposób serwer pocztowy stawiać (Postfix+Dovecot+Spamassasin), to dopiero będziesz miał powody do płaczu.

Każdą robotę trzeba sobie rozłożyć na etapy, i pomiędzy tymi etapami kontrolować, czy poszczególne zmiany się udały, czy nie.

Kod: Zaznacz cały

fastcgi://127.0.0.1:9000", host: "xxx.pl"
2015/02/12 16:43:14 [error] 6731#0: *10 connect() failed (111: Connection 
PHP na localhoście lepiej moim zdaniem puścić przez socket UNIX, szybciej to chodzi, i łatwiej wtedy postawić kilka instalacji php dla rożnych Vhostów, w razie potrzeby, i kontrolować
uprawnienia i zmienne php (np openbasedir), rożne php.ini dla vhostów.

Ja PHP robię tak:

Kod: Zaznacz cały

  location ~ \.php$ {
    fastcgi_split_path_info ^(.+\.php)(/.+)$;
    # NOTE: You should have "cgi.fix_pathinfo = 0;" in php.ini

    # With php5-cgi alone:
    fastcgi_pass unix:/var/run/php55.sock;
    fastcgi_intercept_errors on;
    fastcgi_buffers 8 16k;
    fastcgi_buffer_size 32k;
    fastcgi_index index.php;
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    fastcgi_param PHP_ADMIN_VALUE "open_basedir = /gdzie/siedzi/skrypt/php";
    fastcgi_param PHP_ADMIN_VALUE "memory_limit = 64M";

	include /etc/nginx/fastcgi.conf;
W ten sposób można też mieć kilka wersji php na różnych socketach, np równocześnie php5.3 i php5.5.
Php-fpm można odpalać w kilku procesach z rożnymi konfigami, socketami, UID oraz GID.

Pozdro
:craz:
Problemy rozwiązujemy na forum nie na PW -> Niech inni na tym skorzystają.
Komputer jest jak klimatyzacja - gdy otworzysz okna, robi się bezużyteczny...
Linux User #499936
Inny OS: Gentoo Linux :)
unrealx0
Piegowaty Guziec
Piegowaty Guziec
Posty: 21
Rejestracja: 07 lip 2014, 08:07
Płeć: Mężczyzna
Wersja Ubuntu: 14.04
Środowisko graficzne: Unity
Architektura: x86_64

Re: chown -R nazwa_user:www-data i chmod 755 na public_html czy to dobre rozwiązanie

Post autor: unrealx0 » 12 lut 2015, 22:38

dzięki za odpowiedź i porady
To jest mój 2 vps w życiu. Ale 1 na poważnie czyli od A do Z. Doświadczenia wiele nie mam ale się staram.

PS.
To jest chyba najlepszy temat na jaki trafiłem, w jednym miejscu zdobyłem sporo wiedzy i kilka pojęć.
ODPOWIEDZ

Wróć do „Bezpieczeństwo Ubuntu”

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 11 gości