www-data 使用者可以讀取 /etc/fstab

我對此很陌生。所以我發現 apache2 以 www-data 使用者身份啟動程序。假設該使用者隨後啟動了不受信任的程式碼。如果我想禁止該使用者讀取任何文件（例如 /etc/fstab）怎麼辦。我該怎麼辦？順便說一句，Ubuntu 11.04。

您可以通過修改這些文件來拒絕，以便 www-data 使用者無法讀取它們。

您可以使用的技巧之一是將這些文件的組更改為 www-data 組並設置 mod 以便該組無法讀取文件。

$ chgrp www-data /etc/fstab
$ chmod g-rwx /etc/fstab

從 php 方面，您可以使用open_basedir，這在某些情況下會阻止讀取設置為open_basedir的路徑之外的文件

/etc/fstab 中是否有您不想讓使用者閱讀的秘密？

通常，您會刪除文件上其他人的 r 訪問權限，但 fstab 不包含任何秘密，因此您很可能會破壞某些內容。

特別是對於 Apache，您可能可以選擇在 chroot 中執行它，因此它無法在 /var/www 之外或您的 httpd 所在的任何地方讀取。

引用自：https://serverfault.com/questions/312691