Сценарий
Я делаю плагин wordpress для своих сайтов, которому нужен доступ к основному .htaccess файл.
С помощью сценария установки я могу изменить .htaccess из 644 к 664 что позволяет моему серверу (apache2) писать на .htaccess прямо.
Вопрос
Меня беспокоит ограничение безопасности. Открываюсь ли я здесь для шквала потенциальных атак? Если да, то какое лучшее предложение для моего .htaccess записывается с помощью wordpress, т.е. апач?
РЕДАКТИРОВАТЬ
Пользователь apache2 www-data на одном сервере, но это другой пользователь на другом сервере в зависимости от настроек хоста. Я должен быть к этому готов.
Это старый вопрос, поэтому я не уверен, что он все еще актуален, но вот мой подход к нему.
Я не думаю, что вы задумываетесь над этим, поскольку да, файл будет доступен для записи. Так что, если на сервере произойдет что-то подозрительное - например, Атака, основанная на изменении / создании файлов на сервере, злоумышленнику будет легче взломать сервер или настроить определенные параметры, которые можно изменить с помощью .htaccess.
Например, вы также можете изменить настройки PHP - например, максимальный размер загрузки файла и время выполнения, а также множество других значений конфигурации, которые злоумышленник не должен изменять, не так ли? ;)
Так что я бы выбрал 440 его и всегда редактировал его вручную в производственной среде, так как там в любом случае не нужно менять его так часто (когда вы развертываете новый материал, вы меняете его один раз на желаемую настройку, и все. ).
Однако в бета-среде / среде разработки после тщательной оценки других рисков безопасности, например, того, что еще находится на этом же сервере (есть ли другие сайты с конфиденциальными данными и т. Д.), Вы можете облегчить жизнь своим разработчикам, просто оставив это на 660 для целей разработки.
Доверие имеет смысл. OP, вероятно, уже решил эту проблему, но я надеюсь, что это поможет другим, наткнувшись на этот вопрос.
Что бы вы ни делали, чтобы сделать файл доступным для записи Apache, Apache сделает его доступным для записи.
Если вам нужен только ограниченный набор параметров, которые Apache может изменить, вы можете создать программу setuid для внесения этих изменений на основе некоторых входных данных, которые проверяются программой. Программа должна быть установлена не как root, а какому-либо пользователю, который является только владельцем файла.