質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.35%

  • PHP

    25514questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • Apache

    2204questions

    Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

PHPが出力するファイルの所有者について

解決済

回答 5

投稿 編集

  • 評価
  • クリップ 1
  • VIEW 10K+

snic518

score 37

PHPプログラムから、テキストや画像ファイルを出力するような仕組みをもったWebアプリケーションを作っています。
この時出力されるファイルの所有者について、ご質問させていただきたく思います。

環境は以下です。

  • VPS(さくらVPS)
  • CentOS7
  • Apache 2.4.6
  • PHP 7.0.3

※PHPはモジュールモードで動作
※SELinuxはオフにしています。

【やりたいこと】

Webアクセス時のドキュメントルート以下にあるファイルは、全てhogeユーザーが所有者ということにしたい。
hogeユーザーは、FTPでドキュメントルート以下にアクセスし、ファイル書き込み操作を行うことがあるため、所有者がすべてhogeの方が都合が良い。

ディレクトリ構成
/var
    /www
        /html ← ownerはhoge
             index.php ← ownerはhoge
             generated.txt ← PHPで出力されるファイル。ownerをhogeにしたい

 各種設定

Apacheの設定

# httpd.conf のユーザー設定
User apache
Group apache
# ドキュメントルート
DocumentRoot "/var/www/html"


FTPの設定

#vsftpd.conf
#アップロードファイルのパーミッションが664になるように設定
local_umask=002

■ユーザーについて

id hoge
uid=1000(hoge) gid=1000(hoge) groups=1000(hoge),10(wheel)

id apache
uid=48(apache) gid=48(apache) groups=48(apache),1000(hoge)

上記のようにapacheにはhogeのグループを追加しています。

これで、hogeユーザーがFTPアップロードしたファイルを、PHP(apache実行ユーザー)が書き込み操作出来るというところまでは出来ました。

問題点

この状態ですと、PHPが新規のファイルやディレクトリを生成したときの所有者はapacheになります。

ディレクトリ構成
/var
    /www
        /html ← ownerはhoge
             index.php ← ownerはhoge
             /gdir             ← PHPがmkdirしたディレクトリ。ownerはapache。パーミッションは755
                  generated.txt ← ownerはapache。パーミッション644で書き込み不可!

この時のgenerated.txtをhogeが消したりすることもあるため、書き込み権限が無いファイルが出来てしまうので困ります。
できれば、PHPが生成するファイルの所有者は、PHPスクリプトと同じに揃えたいと思います。

解決策の方向性について

お作法を含め、こういった時はどうするのが良いのか、アドバイスをいただけると幸いです。

①Apacheの実行ユーザーを変える
ApacheのUserをhogeにしてしまうというやり方ですが、調べてみるとあまりいい方法ではないような記事が多いです。
実際のところどうなのでしょうか。

②PHPスクリプトもすべて所有者をapacheにしてしまう
hogeユーザーによるファイル編集は諦め、逆にapacheユーザーで揃えてしまうようにする。それはそれでキレイなのかもしれませんが、ちょっと運用上面倒そうです。

③PHPがファイル生成時に所有者を書き換える
環境はこのまま、スクリプトの方で、ディレクトリ作成やファイル書き込みをした直後にsystem関数とsudoコマンドで所有者を無理やり書き換えていく方法です。出来なくはなさそうですがとても面倒くさそうですし、お作法としてどうなのか気になります。

■その他
suEXECという方法があるようですが、ちょっと難易度が高そう・制約がありそうだったので、まずはそれ以外で実現出来ないかを検討したく、ご質問させていただきました。

そもそも一般的には、apacheユーザーとドキュメントルート以下のユーザーについてはどうされるものなのか等、ご意見いただけますと幸いです。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 5

+5

sgidビットでいけるんじゃないですかね。

複数のユーザーで共有ディレクトリを使いたい

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/02/19 14:18

    コメントありがとうございます。

    とても便利そうだったので、実際にやってみました。
    chown hoge:hoge /var/www/html
    chmod g+s /var/www/html

    こうすると、確かにそれ以下で生成されるファイルやディレクトリのグループはhogeになりました。
    ですが、ownerはapacheのままでした。
    調べたところ、suidビットもあったので、それも試してみました。

    chmod u+s /var/www/html

    これは、結果変わらずでした。
    ですので、ファイル生成元のPHPファイルにもsuid,sgidを付けてみました。

    chmod ug+s /var/www/html/index.php

    これを実行しても、やはり生成されるディレクトリ・ファイルのownerはapacheのままでした。suidビットでは、ownerまでは変わらないのでしょうか。

    キャンセル

  • 2016/02/19 15:25

    ディレクトリへの setuid は効きません。
    オーナーが違っても、hoge グループで Writable であれば、hoge ユーザーで変更、削除できますよね。

    キャンセル

check解決した方法

+2

コメントくださった方々、ありがとうございました。
今回、下記の方法でやりたかったことが出来たので、自己解決とさせていただきます。

まず、環境のところなのですが
>※PHPはモジュールモードで動作 

これにこだわらず、PHP-FPMで動かせばuserは /etc/php-fpm.d/www.conf で指定出来るようだったので、試してみました。

yum install --enablerepo=remi-php70 php-fpm

これで下記がインストールされました。
php-fpm.x86_64 0:7.0.3-1.el7.remi

更に、Apacheのconf.dにconfファイルを新規作成しました。
※デフォルトでは作成されなかったみたいです。

vi /etc/httpd/conf.d/php-fpm.conf

# php-fpm用の設定
ProxyPassMatch ^(.*\.php(/.*)?)$ fcgi://127.0.0.1:9000/var/www/html/$1
DirectoryIndex /index.php index.php

※ドキュメントルートの所有者は、hogeに変更したままです。

また、PHP-FPMの実行ユーザーも変更します。

vim /etc/php-fpm.d/www.conf

; RPM: apache Choosed to be able to access some dir as httpd
;user = apache ←デフォルトの値
user = hoge
; RPM: Keep a group allowed to write in log dir.
;group = apache ←デフォルトの値
group = hoge

これで、PHP-FPMを起動、httpdを再起動します。

systemctl start php-fpm
systemctl enable php-fpm
systemctl restart httpd.service

それぞれ、無事に起動しました。

phpinfo();を実行したページを確認すると、
Server APIがFPM/FastCGIになっていました。

さらに、下記のPHPを実行してみます。

//実行ユーザーとファイル所有者の確認
echo "user : ".posix_getpwuid(posix_geteuid())['name']."<br>";
echo "file owner : ".get_current_user()."<br>";


user,file ownerともに「hoge」になっていました。

また、同様のスクリプトでディレクトリ作成、ファイル作成を行うと、所有者が「hoge」で作成されることも確認しました。
どうやらこれでやりたかったことが出来たようです。

ついでにですが、Apache2.4.6ですので、MPMをEventにしてみてパフォーマンスアップにもなるのではということもあり、このままPHP-FPMで運用するようにしようと思います。

ありがとうございました。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+1

ogaaaan さんの回答のとおり、ディレクトリへ setgid + PHP側で umask(002) としてファイル、ディレクトリを作成すれば、オーナー:apache、グループ:hoge で g+w (ディレクトリならさらに g+s)なものが作成されます。
オーナーが違っても、hoge ユーザーで変更、削除できます。

他に、mod_suphp を使う方法もあります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/02/19 16:25

    コメントありがとうございます。
    グループ権限の指定があれば、確かに読み書きする上では問題はなさそうですね。

    ちょっと別の方法で解決できましたので、自己解決を書かせていただきました。
    ご意見ありがとうございました。

    キャンセル

0

以前業務で作成したシステムでは③に該当する形でスクリプトを組みました。

使用した関数は下記のページに載ってるやつです。
http://www.php-ref.com/b2api/03_chmod.html

※注
PHPでスクリプトを組めない場合や、ファイルが多岐にわたる場合はcron等で定期的にファイルのオーナーと実行権限を変更していました。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/02/19 14:12

    コメントありがとうございます。
    ファイル生成のたびに処理を入れる方向ですね。
    cronは処理のタイミングや、ファイル・ディレクトリ数が膨大だったりする場合の負荷を考えるとちょっとむずかしそうですね…。

    キャンセル

0

  • apacheユーザーがファイルを生成する
  • hogeもファイルを読み書きしたい

普通に考えればパーミッション666ですよね。
他にも664であれば同じグループのユーザーも触れるので、hogeとapacheは違うユーザーですが、
所属グループを同一にしてしまうというもの対策の一つかと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/02/19 14:11

    コメントありがとうございます。
    apacheはすでにhogeと同じグループにしているので、パーミッションさえ合えば問題ないのですが、PHP出力するファイル・ディレクトリの標準のパーミッションが644だったり755だったりするので、常にchmodしないといけないようですね。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.35%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • PHP

    25514questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • Apache

    2204questions

    Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。