Apache-2.2

哪種方式更安全:apache:admin 或文件夾組所有者:apache?

  • September 20, 2013

最近幾天我一直在學習如何設置 var/www/ 權限。

我了解常見的解決方案是通過粘性位將所有新文件夾的組所有者設置為 apache。給 Apache 一個特定使用者所屬的“admin”輔助組怎麼樣?這似乎是一種更靈活的方法,因為這種方式對於管理員上傳的所有腳本 apache 將具有寫入權限,而對於其他不太受信任的使用者則沒有。

這種方法有哪些安全漏洞?就安全性而言,它與簡單地將文件夾的所有者設置為 apache 主要組 - apache 相比如何?

讓主人root:root可能是最“安全”的。它可以防止除 root 以外的任何人更改文件。

使所有者apache:apache僅允許 root 或 apache(以及 apache 組的成員,具體取決於權限…與上面相同…如果您授予組寫權限..該組獲得寫權限..)

當我們有多個合作者在我們的一個更大的站點上工作時,我們將其設置為 apache 是所有者,而一個名為的組webdevel是所有者。這兩個都有寫權限….

回想起來,最安全的方法(同時為開發人員提供理智)可能是根據您的範例將其分配給本身不需要編寫root:admins的任何文件。apache如果 apache 對文件具有寫訪問權限,則伺服器的妥協將意味著使用者可以更改使用者所需的任何文件apache。出於這個原因,您應該考慮保護您的 Web文件不受 Web伺服器的影響。只需讓 apache 擁有它需要更改的配置文件需要上傳的文件夾**(**例如圖像上傳目錄)。

現在,如果您有 apache 不應該寫入但應該能夠讀取的文件.. 但所有其他非 root&& 非管理員使用者應該能夠讀取(帶有密碼的配置文件),要麼:

1)採用更複雜的 ACL

或者

  1. 讓惡意不可信的伺服器遠離您的伺服器

或者

  1. 讓不值得信任的使用者入獄。

引用自:https://serverfault.com/questions/540341