Apache 模块 mod_unixd
Description: | Unix 系列平台的基本(必需)安全性。 |
---|---|
Status: | Base |
Module Identifier: | unixd_module |
Source File: | mod_unixd.c |
ChrootDir Directive
Description: | apache 在启动后运行 chroot(8)的目录。 |
---|---|
Syntax: | ChrootDir /path/to/directory |
Default: | none |
Context: | server config |
Status: | Base |
Module: | mod_unixd |
Compatibility: | 在 Apache 2.2.10 及更高版本中可用 |
该指令告诉服务器启动后但在通过'net 接受请求之前,将 chroot(8)移至指定目录。
请注意,在 chroot 下运行服务器并不简单,并且需要进行其他设置,尤其是在运行 CGI 或 PHP 等脚本时。在尝试使用此功能之前,请确保您已完全熟悉 chroot 的操作。
Group Directive
Description: | 服务器将在其下响应请求的组 |
---|---|
Syntax: | Group unix-group |
Default: | Group #-1 |
Context: | server config |
Status: | Base |
Module: | mod_unixd |
Group
指令设置服务器将在其下响应请求的组。为了使用此伪指令,服务器必须最初以root
的身份运行。如果以非 root 用户身份启动服务器,它将无法更改为指定的组,而是 continue 以原始用户的组身份运行。 Unix 组是以下之一:
-
组名
- 通过名称引用给定的组。
-
#
后跟一个组号。- 用编号指组。
Example
Group www-group
建议您专门为运行服务器设置一个新组。一些 Management 员使用用户nobody
,但这并不总是可能或不希望的。
Security
除非您确切知道自己在做什么以及有什么危险,否则请勿将Group
(或User)设置为root
。
See also
Suexec Directive
Description: | 启用或禁用 suEXEC 功能 |
---|---|
Syntax: | Suexec On|Off |
Default: | On if suexec binary exists with proper owner and mode, Off otherwise |
Context: | server config |
Status: | Base |
Module: | mod_unixd |
启用时,如果 suexec 二进制文件不存在或所有者或文件模式无效,则启动将失败。
禁用时,即使 suexec 二进制文件存在并且具有有效的所有者和文件模式,suEXEC 也将被禁用。
User Directive
Description: | 服务器将在其下响应请求的用户标识 |
---|---|
Syntax: | User unix-userid |
Default: | User #-1 |
Context: | server config |
Status: | Base |
Module: | mod_unixd |
User
伪指令设置服务器将响应请求的用户 ID。为了使用此伪指令,服务器必须最初以root
的身份运行。如果以非 root 用户身份启动服务器,则它将无法更改为特权较低的用户,而是 continue 以该原始用户身份运行。如果确实以root
的身份启动服务器,则父进程保持 root 身份运行是正常的。 Unix 用户标识是以下之一:
-
A username
- 通过名称引用给定的用户。
-
#后接用户 Numbers。
- 通过编号指代用户。
用户不应具有导致其能够访问外界不希望看到的文件的特权,并且类似地,用户不应执行不适合 HTTP 请求的代码。建议您专门为运行服务器设置一个新用户和组。一些 Management 员使用用户nobody
,但这并不总是可取的,因为nobody
用户可以在系统上有其他用途。
Security
除非您确切知道自己在做什么以及有什么危险,否则请勿将User
(或Group)设置为root
。