É seguro (seguro) mudar o dono da pasta html / no Apache?

É perfeitamente seguro alterar a propriedade dos arquivos em /var/www e, de fato, qualquer item dessa pasta é seu para editar e alterar como você deseja.

Por exemplo, se o usuário tsmith precisar gravar arquivos em /var/www/myweb , será perfeitamente adequado definir o proprietário desses arquivos como tsmith . Ou, se preferir, mantenha o proprietário como root e exija tsmith sudo para escrever para ele - se você confiar nele / ela com sudo.

Se você tiver vários usuários que precisam editar os arquivos e não quiser dar-lhes sudo, você poderá usar a participação em grupos, por exemplo, criar um grupo e adicionar usuários a esse grupo e, em seguida, definir o grupo a propriedade e o grupo gravam nos arquivos relevantes para permitir que os membros desse grupo modifiquem esses arquivos. Ao fazer isso, você provavelmente desejará usar o bit SetGID ( chmod g+s dir ) no diretório que o contém para garantir que novos arquivos herdem a mesma propriedade do grupo e umask 002 em cada usuário ~/.profile para garantir a permissão de gravação em grupo. qualquer novo arquivo só será editável pelo seu criador e não por outros membros do grupo.

No entanto, você deve estar ciente das seguintes práticas inadequadas:

• Não defina a propriedade de nenhum arquivo para o usuário www-data ou o grupo www-data se você estiver dando permissões de gravação de grupo. O ponto principal do usuário www-data é que ele é um usuário sem privilégios, não é capaz de gravar em nenhum arquivo. Os daemons de servidor acessíveis a partir da rede externa (como o servidor da web) geralmente são executados como um usuário sem privilégios, de modo que, no caso de serem hackeados devido a uma vulnerabilidade, as possíveis ações do invasor são mínimas.

  Exceção: alguns aplicativos da Web exigem acesso de gravação a determinados arquivos e pastas para implementar coisas como armazenamento de anexos, etc. Nesses casos, você deve definir a propriedade como www-data SOMENTE para esses arquivos. mantendo o número de arquivos graváveis por www-data no mínimo.

• Pela mesma razão, não defina nenhum arquivo para ser de escrita mundial.

• Se criar grupos, não reutilize grupos de usuários existentes como admin , sudo ou especialmente www-data , que já têm finalidades no Ubuntu, pois isso pode reduzir a segurança do sistema se esses grupos não forem destinado a gravar em arquivos. Em vez disso, crie seus próprios grupos e adicione membros a eles.

Não é muito seguro usar diretórios ou arquivos com permissões de root (permissões de propriedade ou únicas). Para arquivos HTML estáticos, não seria um grande problema de segurança, mas assim que houver scripts em execução (PHP, JavaScript, formulários, etc.), você poderá ter sérios problemas.

Se você precisa apenas exibir conteúdo (html, imagens, etc), não há necessidade de definir uma propriedade especial para os diretórios / arquivos em /var/www , contanto que o usuário apache2 ( www-data ) tenha permissão para acessar o conteúdo.

Caso você precise fazer mais, talvez seja necessário modificar as propriedades. Por exemplo, se você precisar fazer upload de arquivos de um CMS (como WordPress, Joomla, etc), será necessário alterar a propriedade do diretório de upload para www-data (ou pelo menos conceder permissões de gravação para esse usuário)

Eu, pessoalmente, tenho /var/www de root usuário com mod 1777 (igual a /tmp ) e os diretórios de sites (ou seja, /var/www/site1 ) de www-data .

Espero que ajude!