Вопросы Теги

Недостатки к наличию www-данных, которые в состоянии входить в систему

У меня есть это в моем .Xresources:

URxvt.keysym.C-BackSpace:       \033[33~

и это в моем .zshrc:

bindkey -M main -M viins -M vicmd   '^[[33~'    backward-kill-word

Это уничтожает разделенное слово каждого пробела. Обратите внимание, что '^ [' является Символ ESC. Вы имеете к xrdb -load .Xresources, откройте терминал и затем совершите нападки ^V сопровождаемый ^BackSpace.

4
13.05.2016, 20:13
2 ответа

Одна угроза безопасности - то, что можно возможно уничтожить или иначе заняться самим веб-сервером (потому что Вы затем используете того же пользователя.) Это, вероятно, не, что Вы хотите. То же, вероятно, когда Вы используете корень, право.

Два решения:

  1. Сделайте subdir под /var/www для себя, показанный его себе и затем используют Вашего собственного пользователя. (или создайте новый),

    Пример:

    root@box# mkdir /var/www/joes-toys
root@box# chown joeuser:joegroup /var/www/toys
root@box# chmod u=rwx,g=rx,o=rx

  2. Поместите своего пользователя (Ваше собственное, или новое) в группе www-данных и удостоверьтесь, что у группы есть разрешение записи на /var/www

    Пример:

    root@box# adduser joeuser www-data
root@box# chgrp -R www-data /var/www
root@box# chmod -R g+w /var/www

P.S.: не используйте незашифрованный FTP в эти дни! Используйте sftp (от ssh комплекта) или по крайней мере ftps (ftp по ssl).

7
27.01.2020, 20:47
  • 1
    Если я преследую решение 1, как я делаю apache подать веб-страницы от тех подкаталогов? В настоящее время все полномочия на /var/www/* установлены на www-data. Также для решения 1, это безопасный сделать это для пользователей с sudo root полномочия? –  Ari B. Friedman 25.05.2013, 14:02
  • 2
    Добавленный несколько команд в качестве примера к моему ответу. Я надеюсь, что они разъясняют вещи? –  Elrond 25.05.2013, 14:08
  • 3
    Ваш исходный ответ был достаточно четким, но когда я иду для решения 1, посетители веб-сайта затем добираются Forbidden: You don't have permission to access ... on this server. Почему то, почему они принадлежали www-data во-первых. отклоненное разрешение –  Ari B. Friedman 25.05.2013, 14:11
  • 4
    является странным для этого, действительно. Удостоверьтесь, что имели чтение (для файлов) и читали/выполняли (для каталога) полномочия на файлах/директорах для группы и другого. Посмотрите мой chmod для части каталога. –  Elrond 25.05.2013, 14:15
  • 5
    состоит в значительной степени в том, как любой совместно использовал webhost, делает это. (Там, очевидно, будут различиями из-за более низкого уровня общего доверия в такой среде, но это более или менее, к чему это сводится.) –  a CVn 26.05.2013, 01:52

Процессы демона обычно не могут войти в систему по ряду причин. Среди другой безопасности значительная проблема. www-data как предполагается, доступен в Вашей системе, если Вы выполняете веб-серверы на многих платформах. Если я могу войти в систему того идентификатора пользователя, я могу легко поставить под угрозу Ваш веб-сервер и/или его содержание. (Думайте, подавая вредоносное программное обеспечение.)

Лучше не иметь www-data владейте файлами. То, что важно, является этим www-data смогите считать файлы. Рассмотрите создание идентификатора пользователя с той же группой и позвольте тому пользователю FTP в. Для улучшения безопасности предоставьте как можно меньше каталогов, которые веб-сервер может записать.

4
27.01.2020, 20:47

Теги

Похожие вопросы