Linux
什麼是 Linux/Apache 網站的理想權限以支持團隊工作但保護某些文件
我發現很難找到有關 RHEL5 上網站文件夾結構的理想權限的建議。
我希望多個使用者能夠更改/添加/刪除網站文件夾中的文件 - 但某些文件(例如包含數據庫密碼的文件)需要受到保護,以便團隊成員無法對他們做任何事情(讀取/刪除)。
我打算創建一個組“www”,將 apache 和所有使用者添加到該組,將所有文件和文件夾添加到該組,然後將 db 密碼文件設置為 apache,組 apache - 但是我發現如果該目錄對 www 組具有寫入權限,那麼他們仍然可以刪除(並重新創建)密碼文件。
將密碼文件移動到它自己的目錄並刪除寫權限的唯一解決方案是什麼?
這樣做可能有更好的方法,但是如果您在 ext2/3 上執行,您可以使用使文件不可變
# chattr +i file
這意味著文件不能被修改、刪除或重命名,即使是 root 也不能。如果要更改文件,則必須先 chattr -i 該文件
從您提到“數據庫密碼”的事實來看,我假設 apache 配置為從 www 組成員具有寫訪問權限的目錄中提供某種動態生成的頁面。
在這種情況下,無論你把它放在哪裡,你都不能對 www 組的成員保密。
組成員可以簡單地將惡意腳本上傳到讀取密碼並將其轉發給他們的伺服器(通過電子郵件、ftp、http……)。
如果使用者不能將程式碼上傳到伺服器,請將它們放在沙箱中,而不是密碼文件中。