EC2 用户权限

Posted 2023-03-04

【中文标题】EC2 用户权限

【英文标题】：EC2 user permissions

【发布时间】：2015-02-21 01:53:29

【问题描述】：

我刚刚设置了我的第一个 AWS EC2 服务器实例，但在上传图片的脚本权限方面遇到了问题。 “var/www”（和所有子目录）所有者是“ec2-user”，但是 apache 服务器作为“apache”运行。 因此，由 php 脚本（使用 mkdir）动态创建的所有目录都将 'apache' 作为所有者（它似乎没有写权限） 我当然可以将 apache 用户更改为“ec2user”，但我担心这可能会带来安全风险。这样做的正确方法是什么？ 感谢您的帮助。

【问题讨论】：

如果下面的答案是正确的，你能这样标记吗？这将有助于其他有相同问题并寻找答案的客户。谢谢

答案是正确的，虽然它没有解决我的问题，但还是谢谢！

【参考方案1】：

为 Apache Web 服务器设置文件权限

1- 使用以下命令将 www 组添加到您的 EC2 实例：

[ec2-user ~]$ sudo groupadd www

2- 将 ec2-user 用户添加到 www 组：

[ec2-user ~]$ sudo usermod -a -G www ec2-user

3- 要刷新您的权限并包含新的 www 组，请退出：

[ec2-user ~]$ exit

4- 重新登录并验证 www 组与组一起存在：

[ec2-user ~]$ groups
> ec2-user wheel www

5- 将/var/www 目录及其内容的组所有权更改为 www 组：

[ec2-user ~]$ sudo chown -R root:www /var/www

6- 更改/var/www及其子目录的目录权限，添加组写入权限，并为以后创建的子目录设置组ID：

[ec2-user ~]$ sudo chmod 2775 /var/www
[ec2-user ~]$ find /var/www -type d -exec sudo chmod 2775  +

7-递归更改/var/www目录及其子目录下文件的权限，增加组写权限：

[ec2-user ~]$ find /var/www -type f -exec sudo chmod 0664  +

【讨论】：

更多来自这个链接：docs.aws.amazon.com/AmazonRDS/latest/UserGuide/…

毫不奇怪，上面列出的 AWS 链接上给出的说明非常棒。感谢您的直接链接。

【参考方案2】：

这是一个纯 Linux 权限问题，而不是 AWS 问题。 我刚刚创建了一个 Amazon Linux 实例并在 /var

中验证了权限

 [ec2-user@ip-1-1-1-174 ~]$ ls -ald /var/www
 drwxr-xr-x 7 root root 4096 Oct 22 23:34 /var/www

如您所见，所有权是 root 而不是 ec2-user。您应该首先了解您在/var/www/ 到ec2-user 上看到的权限是什么/为什么

如果需要再次更改该目录的所有者，您可以键入：

 chown -R root:root /var/www

让您的 Web 服务器 (httpd) 写入 /var/www 或以提升的权限（例如 root）运行该进程不是最佳做法。 如果您的应用程序真的写入本地存储，请使用不同的卷，安装在没有可执行文件的单独目录中。

【讨论】：

感谢您的回答。其实你是对的，'/var/www/'的所有者是'root'。但是，我有一个用于存储图片的子文件夹“/var/www/html/files”，该文件夹的所有者是“ec2-user”。有关信息，我通过 SSH 使用 filezilla 来部署应用程序（用户 ec2-user）。这可能是 ec2-user 是子文件夹所有者的原因吗？那么将我的文件上传到 aws 实例的最佳方式是什么？我尝试使用弹性 beanstalk，但上传包含我的应用程序文件的 zip 时出现错误，尽管 zip 文件看起来不错....

是的，当您在 FileZilla 中以 ec2-user 身份进行身份验证时，它将创建 ec2-user 拥有的文件。如果您更容易继续这样做并在转移后更改所有权（使用上面我的回答中描述的 chown 命令）

是的，但是我的脚本在 files 文件夹中动态创建文件夹（在 php 中使用 mkdir），并且创建的文件夹的所有者是 'apache'（因为 php 作为 'apache' 运行）...跨度>

应该是 ec2-user 还是 root？

这取决于应用程序使用的用户。在上面的@Arbiz 示例中，正确的用户是“apache”

【参考方案3】：

如果您使用的是 Amazon Linux 2 AMI，则步骤不同

要允许 ec2-user 帐户操作此目录中的文件，您必须修改该目录的所有权和权限。有很多方法可以完成这项任务。在以下步骤中，您将 ec2-user 添加到 apache 组，以授予 apache 组对 /var/www 目录的所有权并为该组分配写权限。

设置文件权限

将您的用户（在本例中为 ec2-user）添加到 apache 组。

[ec2-user ~]$ sudo usermod -a -G apache ec2-user

退出并重新登录以选择新组，然后验证您的成员资格。 注销（使用退出命令或关闭终端窗口）：

[ec2-user ~]$ exit

要验证您在 apache 组中的成员身份，请重新连接到您的实例，然后运行以下命令：

[ec2-user ~]$ groups
ec2-user adm wheel apache systemd-journal

将 /var/www 及其内容的组所有权更改为 apache 组。

[ec2-user ~]$ sudo chown -R ec2-user:apache /var/www

要添加组写入权限并在以后的子目录中设置组 ID，请更改 /var/www 及其子目录的目录权限。

[ec2-user ~]$ sudo chmod 2775 /var/www && find /var/www -type d -exec sudo chmod 2775  \;

要添加组写入权限，递归更改/var/www及其子目录的文件权限：

[ec2-user ~]$ find /var/www -type f -exec sudo chmod 0664  \;

现在，ec2-user（以及 apache 组的任何未来成员）可以在 Apache 文档根目录中添加、删除和编辑文件，使您能够添加内容，例如静态网站或 PHP 应用程序。

如何设置 Amazon Linux 2 LAMP，完整的详细信息在这里 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-lamp-amazon-linux-2.html