Назад | Перейти на главную страницу

Добавление Apache в группу разработчиков (веб-разрешения)

На частном сервере с приложением, которому требуется доступ для записи (Wordpress), лучше ли добавить веб-пользователя Apache (www-data) в группу «разработчиков», которая владеет / var / www, или вместо этого использовать fastcgi / suphp для повышения привилегий?

Примечание: единственными пользователями в группе «разработчики» являются администраторы. Разрешения должны быть 775 для папок и 664 для файлов, если используется групповое решение (см. Выше).

Вы НЕ хотите давать apache больше привилегий. Выясните минимальный набор каталогов, к которым apache должен иметь доступ для записи, предоставьте ему доступ к этим каталогам, а затем попытайтесь ограничить то, что apache готов делать с этими каталогами. Если это каталог изображений, в который вы хотите, чтобы WordPress мог добавлять изображения, сервер apache не должен запускать скрипты php из этого каталога, а просто обслуживать статические изображения. Вот одну вещь, которую вы хотите предотвратить: каким-то образом злоумышленник получает доступ к логину wordpress, он загружает что-то, что должно быть изображением, но на самом деле является сценарием php. Вы же не хотите, чтобы они могли затем перейти к http://yoursite.com/wp-images/bad.gif и пусть apache действительно запускает это как php-скрипт (потому что теперь они могут загружать произвольный код на ваш сервер и заставлять ваш сервер запускать этот код).

Если вы пытаетесь решить, следует ли добавлять разработчиков в группу www-data или наоборот, подумайте об этом так. Разработчики - это люди, которым вы доверяете запускать код на своем сайте. Группа www-data - это привилегии, предоставляемые людям, которые находят способ использовать дыру в wordpress / apache / чем-то еще. Вы же не хотите давать этим людям доступ, который вы даете доверенному разработчику. У вас не должно возникнуть проблем с тем, чтобы дать своему доверенному разработчику права, которые вы готовы предоставить тому, кто скомпрометировал вашу установку wordpress. Так что добавляйте разработчиков в www-data, но не добавляйте www-data разработчикам.