Ubuntu

www-data 使用者可以讀取 /etc/fstab

  • September 18, 2011

我對此很陌生。所以我發現 apache2 以 www-data 使用者身份啟動程序。假設該使用者隨後啟動了不受信任的程式碼。如果我想禁止該使用者讀取任何文件(例如 /etc/fstab)怎麼辦。我該怎麼辦?順便說一句,Ubuntu 11.04。

您可以通過修改這些文件來拒絕,以便 www-data 使用者無法讀取它們。

您可以使用的技巧之一是將這些文件的組更改為 www-data 組並設置 mod 以便該組無法讀取文件。

$ chgrp www-data /etc/fstab
$ chmod g-rwx /etc/fstab

從 php 方面,您可以使用open_basedir,這在某些情況下會阻止讀取設置為open_basedir的路徑之外的文件

/etc/fstab 中是否有您不想讓使用者閱讀的秘密?

通常,您會刪除文件上其他人的 r 訪問權限,但 fstab 不包含任何秘密,因此您很可能會破壞某些內容。

特別是對於 Apache,您可能可以選擇在 chroot 中執行它,因此它無法在 /var/www 之外或您的 httpd 所在的任何地方讀取。

引用自:https://serverfault.com/questions/312691