Вопросы Теги

Предоставьте глобальный доступ к каталогу в соответствии с 0750 каталогами

Вы попробовали yum -y update?

2
10.08.2016, 15:51
1 ответ

Существует несколько различных вариантов, доступных Вам. Вот те, я могу думать; у каждого есть его собственные достоинства и недостатки.

  • Можно установить мир, выполняются, обдумал родительские каталоги. Тем путем любой, кто знает полный путь в файл, сможет получить доступ к нему, но никто больше не может. Это все еще оставляет известные доступные для всех файлы, хотя, если Вы не защищаете их с более строгими полномочиями (вещи как ~/.bashrc, ~/.gnupg, ~/.Xauthority и так далее могут представлять интерес для взломщика так, нуждался бы в их сжатых полномочиях).

  • Вы можете усиливать ACLs, чтобы сделать то же самое с большим количеством гранулярности, например, только разрешением www-пользователя-данных или доступа на выполнение группы к каталогам, чтения/доступа на выполнение к любому каталогу, веб-сервер должен предоставить довольному список для и доступ для чтения к файлам, которым это должно служить.

  • Вы могли добавить www-пользователя-данных к dotancohen группе и затем отменить полномочия группы на всем кроме того, к чему Вы хотите, чтобы Apache смог получить доступ. Это - вероятно, самый легкий подход, который открывается как можно меньше, но это становится более хитрым, если Вы уже используете полномочия группы для некоторой другой цели.

  • Или, как Вы говорите, Вы могли переместить публично подаваемые файлы из своего корневого каталога полностью. Это - определенно самая легкая установка для разбираний с точки зрения полномочий, и это - конечно, выбор, который я сделал бы, если нет некоторый неопровержимый довод не к. В зависимости от Вашей установки и определенных потребностей, это может даже быть практично для использования 0750 или 0770 полномочий на таком общедоступном корне с соответствующим владением, которое ограничило бы доступ к только себе и веб-серверу. Владелец самостоятельно, www-данные группы и полномочия 0710 всюду по такому дереву каталогов, вероятно, были бы почти так трудны, как Вы можете пойти, но подразумеваете, что веб-сервер должен знать полное имя каждого файла, к которому это получит доступ в соответствии с тем каталогом.

Как в стороне, можно хотеть рассмотреть миграцию на совместимый FHS/srv, а не / var.

3
27.01.2020, 22:06
  • 1
    Спасибо. Перемещение файлов из моего корневого каталога выставит исходный код страниц, но все другие опции хуже! –  dotancohen 04.08.2013, 17:11
  • 2
    @dotancohen В зависимости от Вашей установки, это могло бы быть практично для установки каталога под/var/www, который будет принадлежать Вам и www-данным группы (или наоборот), и выполняет это в 0750 или 0770 по мере необходимости. Это минимизировало бы поверхность атаки, все еще предоставляя веб-серверу доступ ей нужно. –  a CVn 04.08.2013, 18:41
  • 3
    Спасибо, который является хорошей идеей. Я должен буду корректироваться, как Мерзавец видит каталоги, но это должно быть возможно.Спасибо! –  dotancohen 05.08.2013, 08:19

Теги

Похожие вопросы