Как загрузить пользовательский модуль ядра Linux, который не зависит от версии ядра Linux, используя RPM

Для каждого доступа (чтение/запись) к файлу на NFS-сервере клиент передает NFS-серверу идентификатор пользователя и идентификатор группы пользователя. Только если сервер NFS подтверждает, что идентификатор пользователя и идентификатор группы действительно могут получить доступ к файлу, он разрешает прохождение запроса.

Для вашего вопроса:

Итак, недавно добавленные файлы в NGINX Server, S2, имеют владельца и группу Apache. У меня не было проблем с обслуживанием файлов, все работает нормально, но является ли проблемой безопасности то, что я читаю файлы Apache, используя NGINX? Является ли это вообще неправильным? Если да, то какие у меня есть варианты?

Как вообще NGINX может получить доступ к файлам, созданным Apache? Здесь я предполагаю, что процесс Apache в S1 создает файлы. И созданные файлы доступны для чтения в мире(?). Если это так, то это может быть вопросом безопасности, в зависимости от вашего контекста. Обычно файлы, которые создает процесс Apache, доступны для чтения всем пользователям, если только скрипт, инициировавший создание файла, не содержит код для явного изменения разрешений. Вы можете захотеть взглянуть на это.

Возможно, идентификатор пользователя и идентификатор группы Apache на S1 совпадают с идентификатором пользователя и идентификатором группы NGINX на S2. Или, если это не так, то каталоги, содержащие эти файлы, доступны для чтения во всем мире с включенными битами read и executable (еще одна проблема безопасности), так что, кроме Apache (на S1), любой может получить доступ к этим каталогам.

Если NGINX и Apache работают с привилегированными портами, вы можете быть крайне осторожны. Любые выявленные уязвимости повышения привилегий или root exploit в запущенных версиях NGINX/Apache могут позволить хакеру получить доступ к вашему серверу. Если один из NGINX/Apache хранит очень важные данные, вы предоставляете возможность добраться до них через другой сервер.

Хотя внешний мир может не знать, что процесс NGINX использует те же папки, что и Apache, любой, кто имеет локальный доступ к S1 или S2, может воспользоваться уязвимостью и получить доступ к другому серверу.

Если нет другого варианта, кроме как разделить файлы между серверами/процессами, вам стоит обратить внимание на следующее: - разрешения на чтение и запись файлов - разрешения на доступ к папкам

Если разделяемые файлы являются исходными, рекомендуется, чтобы они были частью репозитория контроля версий (например, GIT) и последние версии кода проверялись в обоих местах (что в конечном итоге означает, что вы поддерживаете две копии).

Если ваш случай использования известен, лучшие альтернативы могут быть найдены в других местах.