le directory webapp dovrebbero avere il nome della directory come proprietario e gruppo?

2

Alcuni programmatori mi hanno detto che il mio solito modo di modificare la proprietà e le autorizzazioni per le mie directory webapp non va bene:

sudo chown www-data:www-data /var/www/html/* -R

Mi ha detto che questo potrebbe comportare uno stato quando i moduli CMS malevoli influenzano la molecolarità delle applicazioni web adiacenti con lo stesso proprietario.

Penso che questa sia una buona soluzione

1) Quando creo una nuova webapp:

sudo chown -R ${domain}:${domain} ${domain}/*

2) Quando cambio una webapp esistente:

cd /var/www/html && sudo chown -R $<domain.tld>:<domain.tld> domain.tld/*

La mia qeustion

La mia domanda comprende le seguenti due domande:

  1. Il programmatore era adatto?
  2. Come dovrei aggiungere un utente in un utente sicuro per assegnarlo come proprietario e gruppo? (non sono sicuro se scegliere useradd / adduser e con quali permessi, a tale scopo.
posta Arcticooling 16.01.2018 - 19:17
fonte

1 risposta

2

Non penso che il suggerimento sia particolarmente quello di avere lo stesso valore di utente e gruppo come nome della directory, ma piuttosto di avere un singolo utente / gruppo per ogni directory.

Se utilizzi www-data per tutti i casi, un compromesso di un singolo sito (o proprietario di un sito malevolo in caso di hosting condiviso) può facilmente leggere & scrivi i file nelle altre directory del sito.

Avere più utenti (uno per sito, per esempio) attenua il danno in un compromesso. In genere, si desidera www-data per il gruppo (e il gruppo leggibile, ma non le autorizzazioni scrivibili) in modo che il server Web possa leggere tutti i file statici e eseguire un'istanza per utente del server delle applicazioni. (Ad esempio, un'istanza di gunicorn php-fcgi o python in esecuzione come ogni proprietario del sito, per la lingua appropriata.)

Puoi usare adduser , ma dovrei usare sia il --disabled-password che il --disabled-login flags per assicurarti che anche il nuovo utente non diventi un vettore di attacco!

    
risposta data 16.01.2018 - 22:34
fonte

Leggi altre domande sui tag