设置 Apache 用户的 umask

问题描述：

我正在设置一个 LAMP 服务器，并且想要将 Apache 的 umask 设置设为 002，以便所有 Apache 创建的文件都设置了组写权限位（因此同一组的成员可以覆盖文件）。

有人知道怎么做吗？我知道在 Ubuntu 上，可以使用 /etc/apache2/envvars 文件来配置 umask，但服务器运行的是 CentOS。

更新
这个问题与我之前问过的另一个问题有关 ( LAMP 服务器的 Linux 用户和组)。如果愿意，请更新此问题，说明在服务器上拥有开发人员用户可以编辑 apache 用户创建的文件的最佳设置是什么。

解决方案 1：

对于 CentOS 和其他 Red Hat 发行版，将 umask 设置添加到 /etc/sysconfig/httpd 并重新启动 apache。

[root ~]$ echo “umask 002” >> /etc/sysconfig/httpd
[root ~]$ 服务 httpd 重启

更多信息：Apache2 umask | MDLog:/sysadmin

对于 Debian 和 Ubuntu 系统，您可以类似地编辑/etc/apache2/envvars。

解决方案 2：

这是 Google 搜索结果中“CentOS 7 apache umask”的第一个结果，因此我将分享在 CentOS 7 中实现此功能所需执行的操作。

在 CentOS 7 中，echo "umask 002" >> /etc/sysconfig/httpd-method 对我来说不起作用。

我确实通过创建一个文件夹覆盖了 systemd 启动文件/etc/systemd/system/httpd.service.d，并在那里创建了一个包含以下行的文件umask.conf：

[Service]
UMask=0007

启动后它对我有用。

解决方案 3：

umaskApache从其父进程（即启动 Apache 的进程）继承其；这通常应该是/etc/init.d/脚本。因此，将umask命令放入该脚本中。

解决方案 4：

对我来说，添加umask 命令/etc/apache2/envvars似乎不是一个好主意，不仅因为文件的名称（仅提及变量），而且还基于该文件中的注释：

# Since there is no sane way to get the parsed apache2 config in scripts, some
# settings are defined via environment variables and then used in apache2ctl,
# /etc/init.d/apache2, /etc/logrotate.d/apache2, etc.

这表明/etc/apache2/envvars任何执行与 Apache 相关任务的脚本都可能源自该脚本，而更改这些（事先未知的）脚本的 umask 是相当危险的。

另一方面，如果更改 Apache 的 umask 的想法是为了放宽所创建的文件的权限mod_dav，那么您应该考虑到DAV 存储库被视为 Apache 私有的，让其他进程访问这些文件可能会导致各种问题（包括损坏）。

解决方案 5：

添加 Luoti / Spider Man 针对 CentOS7 的回答：更改后，可以使用以下命令，而不是“启动”：

systemctl daemon-reload
service httpd restart

解决方案 6：

在 Debian 中，另一个为 Apache 设置 umask 的地方是 /etc/default/apache2。该文件末尾只有这一行：umask 0002

解决方案 7：

您可能SetGID需要做的是，在您的 CGI 正在处理的目录上设置组粘性位 ( ) 位：

`chgrp mygroup dir
chmod g+s dir`

确保 执行此操作时（用户）apache 在组（在）中，因此它将具有权限。mygroup`/etc/group`

这样一来，在这个目录下创建的任何文件都将归与该目录相同的组所有。

这比为 apache 可能运行的每个 cgi 脚本设置全局 umask 更安全。

（这git-http-backend通常是从 Apache 运行的方式）。

解决方案 8：

对于 Ubuntu，有一个工具svnwrap

1. 安装sudo apt-get install subversion-tools

2. 使用 svnwrap 包装 svn 和 svnserve：

sudo ln -s /usr/bin/svnwrap /usr/local/bin/svn

sudo ln -s /usr/bin/svnwrap /usr/local/bin/svnserve

此后，所有使用 file://、svn+ssh:// 和 http:// 协议的 svn 操作都将使用 umask 002 完成

解决方案 9：

这也许会有帮助。

管理 rhel/centos 的文件权限

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/configuring_basic_system_settings/file-permissions-rhel8_configuring-basic-system-settings#displaying-the-umask_file-permissions-rhel8

# ls -lrt /etc/systemd/system/httpd.service.d/umask.conf
-rw-r--r-- 1 root root 21 Feb 25 10:19 /etc/systemd/system/httpd.service.d/umask.conf

# cat /etc/systemd/system/httpd.service.d/umask.conf
[Service]
UMask=0002

解决方案 10：

Luoti 的答案在 CentOS7 上对我有用。

无需系统启动或重启。

使用命令重新启动服务时可能会收到此警告systemctl restart httpd

`Warning: httpd.service changed on disk. Run 'systemctl daemon-reload' to reload units`.

那么首先运行systemctl daemon-reload命令systemctl restart httpd

解决方案 11：

通常不建议偏离“久经考验的 Apache 方式”。选择这些方式需要投入大量的时间和来之不易的经验。