[PHP-users 963] Re: nobodyユーザについて質問です

[Yasuo Ohgaki]

大垣です。

> あと、どうでもいい話かもしれませんが、httpdを動かすユーザーを「nobody」
> という名前にするのは避けましょう…とApacheかなんかのマニュアルで読んだ気
> がする。

元記事の質問と関係無いですが、でコメントします。

httpd (Apache)をnobody（UID、GID）で動作させることは“やってはいけない事”と誤解
されている方を時々見かけます。

# GID,UIDの変更に意味が無い、と言う訳ではありません。
# ただ、私はセキュリティー詳しくない方にはhttpdのUID、GIDの変更はお勧めしませ
ん。
# また、ユーザー名をnobodyから他の名前に変更する事は重要ではありません。

元々、nobodyアカウント（またはそれと同等のアカウント）は最低限の権限しか持たない
ことが前提となっています。i.e. ログインできない、ファイルのオーナー、オーナーグ
ループになっていない等。最低限の権限しか持っていないことが問題になるケースがあり
ます。（後述）

nobodyのUID、GIDでプロセスを実行した場合にシステム全体のセキュリティー上問題があ
る場合は、その設定またはシステムに問題があります。普通のOS（ディストリビューショ
ン）は問題が無いように設定されています。別の最低限の権限のみ持つユーザーを作成・
利用する事でセキュリティーが向上するとは考えられません。

httpdのUID、GIDの変更が必要となる主なケースは、アクセス権限を制御したい等の時な
どです。nobodyは最低限の権限しか持たないので、ファイルを読み書きするには誰でも読
み書きできないといけません。これが、受け入れられない場合はhttpdのGIDを変更する事
をお勧めします。

Webサーバー専用のシステムでUID、GIDの変更は、特別な場合を除き、念には念を入れる
と言う程度の意味しかありません。システムセキュリティーを確保するには2重、3重、4
重、、、、の対策を行う事が重要です。httpdのUID、GIDを変更する事自体には意味があ
りますが、絶対変更しなければいけないセキュリティー対策項目ではありません。

nobodyで運用するよりよほど“やってはいけない事”なのは、wwwと言うユーザーを作っ
て、/home/httpd/html等のオーナーとし、httpdをwwwのUID、GIDで実行したりする事で
す。こんな設定をされている方は誰もいないと思います、、、もし、このようなWebサー
バーにPHP等がインストールされていれば、ページの書き換えが簡単に出来てしまう場合
があります。

ApacheのUIDがファイルのオーナーになっていたりする場合はセキュリティー上かなり問
題があります。もし理由無くこのような設定にされている場合は設定を修正されることを
お勧めします。このような設定が必要な場合も必要最低限に留めて置くべきです。

--
Ohgaki, Yasuo (大垣 靖男)　
Mail: yohgaki@dd.iij4u.or.jp