Как зашифровать / var / www?
Я хочу зашифровать свою папку /var/www, чтобы у меня и apache был доступ.
Как я могу это сделать?
Я пытался использовать ecryptfs, но мои сайты не работают.
Пожалуйста, напишите пример или ссылку для руководства.
4 ответа
Вы можете использовать eCryptfs для этого.
Вы должны сделать это как пользователь root. Вот некоторые инструкции, которые будут работать:
root@server-59314:~# ecryptfs-setup-private
Enter your login passphrase:
Enter your mount passphrase [leave blank to generate one]:
************************************************************************
YOU SHOULD RECORD YOUR MOUNT PASSPHRASE AND STORE IT IN A SAFE LOCATION.
ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase
THIS WILL BE REQUIRED IF YOU NEED TO RECOVER YOUR DATA AT A LATER TIME.
************************************************************************
Done configuring.
Testing mount/write/umount/read...
Inserted auth tok with sig [37d1d7fcf453d9d0] into the user session keyring
Inserted auth tok with sig [974bb07127cbe922] into the user session keyring
Inserted auth tok with sig [37d1d7fcf453d9d0] into the user session keyring
Inserted auth tok with sig [974bb07127cbe922] into the user session keyring
Testing succeeded.
Logout, and log back in to begin using your encrypted directory.
А затем вам нужно будет войти в систему как root и запустить ecryptfs-mount-private . Обратите внимание, что вы, вероятно, захотите убедиться, что / var / www не отключен при выходе из root. Для этого достаточно rm -f /root/.ecryptfs/auto-umount.
Полное раскрытие: я один из тех, кто поддерживает проект eCryptfs.
См. http://ubuntuforums.org/showthread.php?t=1655933
Однако, поскольку ключ разблокирован при загрузке, вы все равно ничего не получите, если только кто-то входит в ваш серверный зал, удаляет ваш диск и затем пытается получить доступ к нему без тестирования, чтобы вставить диск в любой другой компьютер (той же архитектуры) и пытается загрузить его.
Вы МОЖЕТЕ сделать полное шифрование диска (плохая идея, поскольку вы не сможете расшифровать свой компьютер через SSH), или вам придется разблокировать шифрование, но затем вы получите сервер, который не может быть перезагружен, не беспокоясь об обслуживании впоследствии.
Если вы уже зашифровали свою домашнюю папку, то вы можете легко указать apache для чтения подкаталога внутри ~ / через символическую ссылку.
Так я настроил свою систему. Я создал символическую ссылку в /var/www, которая указывает на папку внутри моей домашней папки (т. Е. ln -s /home/francesco/www/default /var/www/default)
Найдите под моим /var/www контентом:
root@Terminus:/var/www# ls -lah
total 8K
drwxr-xr-x 4 francesco www-data 4.0K Mar 24 14:52 .
drwxr-xr-x 15 root root 4.0K Feb 7 09:46 ..
lrwxrwxrwx 1 francesco www-data 28 Mar 24 14:52 default -> /home/francesco/www/default/
Теперь вы должны добавьте apache (www-data) в свою группу и наоборот:
usermod -a -G www-data francesco
usermod -a -G francesco www-data
Я сделал это, потому что мне нужно запускать PHP-сценарии в командной строке от моего пользователя, а apache все равно должен читать и писать то же файлы (но я думаю, вы можете использовать setfacl ).
Теперь вы должны изменить разрешения вашей домашней папки и разрешения для корневой папки вашего документа (в моем случае ~/www/default). Пожалуйста, будьте осторожны и не запускайте команду chmod , используя рекурсивную опцию в вашей домашней папке, используйте ее только в корневой папке документа следующим образом:
sudo chmod 0755 /home/francesco
sudo chmod -R 0755 /home/francesco/www
Я бы посоветовал вам шифровать только файлы в папке www, а не шифровать всю папку. То же самое расшифровывается в памяти при вызове файла.