Sha*_*obe 4 linux ubuntu apache-2.2
我有一个运行 Apache 的 Ubuntu 服务器。我有一个将文件写入文件夹的网络应用程序。Apache 运行为www-data:www-data,因此所有文件都是使用该用户和组创建的。
我还有一个用户shabbyrobe用于登录框并进行非 root 更改。如果我想改变已经触及的东西www-data,我发现自己正在破解它并且只是做sudo -i,然后在我意识到之前我正在以更高的权限级别做所有事情,而且确实感觉我不应该需要根本就是root。
我添加shabbyrobe到该www-data组并chmod -R 2775在充满我的 Web 应用程序编写的文件的文件夹上运行,但新文件仍在创建为755,因此用户shabbyrobe无权访问。
基本上,我只是想知道将 umask/etc/profile从 022(这似乎是默认值)更改为 002 是否安全,而不会影响服务器的安全性。我想我只是认为默认情况下它是 022 一定是有原因的,并且我不想在不了解原因的情况下随意更改它。
更新:为了响应 Caleb 的建议,我想了更多,考虑到可以只为 apache 设置 umask,所以感觉在系统范围内设置 umask 并不是一个好主意。那么,如果我将 umask 更改为 002/etc/apache2/envvars而不是/etc/profile,还需要考虑哪些安全问题?
将 umask 设置为 002 将使创建的所有文件也可由与写入文件的用户位于同一组中的任何人写入。
\n\n根据您的系统配置,这可能会带来严重的安全问题。我不建议在整个系统范围内进行此操作。如果您有一个特定的用户或程序可以从创建可由其所在组中的其他用户写入的文件中受益,则可以在本地将其设置为该程序或脚本的执行,但这将是一个坏主意\xe2 \x84\xa2 使其成为默认行为。
\n\n请注意,允许对其他用户可以执行的任何内容进行写访问是特别危险的,因为对可执行文件的偷偷更改可能会在其他用户不知情的情况下运行,并允许恶意代码以其用户身份执行,从而损害他们的帐户。
\n| 归档时间: |
|
| 查看次数: |
3405 次 |
| 最近记录: |