2.4.4 一般ユーザアカウントによる運用
HTTP Serverは,通常の運用方法として,スーパーユーザによる運用を想定しています。
インストールした状態では,スーパーユーザによる運用ができるように各種設定が施されています。
このことから,スーパーユーザ以外のユーザ(以下,一般ユーザと呼びます)で運用する場合,HTTP Serverの設定ファイルや関連するディレクトリ・ファイルの各種設定内容の変更が必要になります。また,HTTP Serverの一部の機能については,一般ユーザによる運用は制限事項になるものがあります。
ここでは,スーパーユーザと一般ユーザの違い,一般ユーザによるHTTP Serverを運用するための環境構築方法,制限事項について説明します。
(1) 各プロセスの権限
スーパーユーザまたは一般ユーザで運用した場合,HTTP Serverの各プロセスの権限を次に示します。
項番 |
プロセス |
スーパーユーザによる運用 |
一般ユーザによる運用 |
---|---|---|---|
1 |
制御プロセス |
スーパーユーザ |
一般ユーザ |
2 |
rotatelogs,rotatelogs2プロセス |
||
3 |
サーバプロセス |
User,Groupディレクティブで指定したユーザ,グループ |
|
4 |
CGIプロセス |
(2) UNIXにおけるスーパーユーザと一般ユーザの違い
UNIXにおいて,スーパーユーザは一般ユーザと異なり,システムの管理者権限を持つユーザになります。UNIXにおけるスーパーユーザと一般ユーザの権限の差異(一例)を次に示します。
項番 |
項目 |
スーパーユーザ |
一般ユーザ |
---|---|---|---|
1 |
別のユーザが起動したプロセスの停止 |
可 |
不可 |
2 |
well-knownポート(1023番以下のポート)を開く |
可 |
不可 |
3 |
明示的に読み取り/書き込み権限が与えられていないファイルへのアクセス |
可 |
不可 |
一般ユーザでHTTP Serverを運用する場合,HTTP Serverの制御プロセスの権限が一般ユーザ権限で動作するため,このときの挙動はスーパーユーザでHTTP Serverを運用した場合と異なる場合があります。したがって,一般ユーザでHTTP Serverを運用する場合は,スーパーユーザとの権限の差異を意識しながら環境を構築する必要があります。
(3) リソースの所有者・グループの変更
HTTP Serverのコンテンツ,設定ファイル類,およびHTTP Serverが動作する際にアクセスする各種ファイル・ディレクトリについて,UNIX上での所有者・グループを変更します。
最低限,インストールディレクトリ(/opt/hitachi/httpsdディレクトリ)以下のリソースに対しては変更が必要です。
将来,リソースの所有者・グループを元に戻したい場合は,変更作業の前に現在のリソースに対して,所有者とグループを保存しておきます。
保存作業は,スーパーユーザで実行します。保存例を以下に示します。
(例)
/opt/hitachi/httpsdディレクトリ以下のリソースに対して,所有者とグループの一覧を作成する。
ls -laR /opt/hitachi/httpsd
変更作業は,スーパーユーザで実行します。変更例を以下に示します。
(例)
/opt/hitachi/httpsdディレクトリ以下のリソースに対して,所有者(hwsuser)とグループ(hwsgroup)を変更する。
chown -R hwsuser:hwsgroup /opt/hitachi/httpsd
(4) httpsdの起動
HTTP Serverを運用する一般ユーザを使用して,httpsdを起動してください。
httpsdの停止または再起動をする場合は,起動時と同じ一般ユーザで操作してください。
(5) 制限事項
次に示すコマンドは,一般ユーザによる運用に対応していません。スーパーユーザで運用してください。
-
htpasswdコマンド
-
hwscollectコマンド
-
hwsservereditコマンド
-
logresolveコマンド
-
openssl.shコマンド
一般ユーザによる運用では次に示すディレクティブは指定できません。指定があっても無視します。
-
Groupディレクティブ
-
Userディレクティブ
一般ユーザによる運用では,well-knownポート(1023番以下のポート)を開くことができません。
以下のディレクティブにポート番号を指定する際は注意してください。
-
Listenディレクティブ
-
Portディレクティブ