cuando debería utilizar “apache: apache” o “nadie: nadie” en mis archivos del servidor web?
https://stackoverflow.com/questions/1850297
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Antecedentes: Recuerdo que en mi antiguo lugar de trabajo cómo el administrador del servidor web siempre me haría cambiar los directorios de carga de archivo httpd-accesible para que fueran propiedad de Apache: Apache o nadie: nadie .
Dijo que esto era por razones de seguridad.
Pregunta: ¿Me puede decir cuáles eran específicamente las implicaciones de seguridad de esto? También hay una manera de conseguir Apache para funcionar como nadie: nadie, y hay implicaciones de seguridad para que así
TIA
Solución
Hay una razón válida, suponiendo que el httpd (Apache) era propiedad de la raíz y pertenece a la raíz grupo también, y que no había una vulnerabilidad que se encontró en el propio código, por ejemplo, un usuario malintencionado solicita una dirección URL es decir más de lo esperado y el httpd culpado-seg. Ahora, que explotan ha descubierto acceso a la raíz que significa, que tiene el control sobre el sistema y por lo tanto, un usuario malicioso en última instancia, tomar el control y crear el caos en la caja.
Esta es una razón por la propiedad del demonio httpd se ejecuta con nadie: nadie o apache: apache. En efecto, es una medida preventiva para garantizar que no se vulnerabilidad Exploit / expondrá acceso root. Imaginar las consecuencias para la seguridad de que si iba a suceder.
Afortunadamente, ahora, en función de la distribución de Linux, BSD variantes (OpenBSD / FreeBSD / NetBSD) o el Unix comercial variantes, el demonio httpd se ejecuta en un grupo de usuarios con los privilegios mínimos. Y, además, sería seguro decir que una gran parte del código de Apache ha sido bien probado lo suficiente y estable. Alrededor del 49% de los servidores a través de todos los dominios están ejecutando Apache. IIS de Microsoft funciona en el 29% de los dominios. Esto es de acuerdo al sitio de la encuesta netcraft aquí .
En otro contexto, se muestra que tiene un programa que se ejecuta bajo privilegios mínimos se consideraría 'seguro' y mitiga cualquier posible posibilidades de exploits, vulnerabilidades.
Otros consejos
Este es el sitio equivocado para esta pregunta. Normalmente usted no desea que el código fuente a ser propiedad del mismo usuario que Apache. En caso de un fallo de seguridad en Apache o las secuencias de comandos del lado del servidor surgir, un atacante podría modificar maliciosamente archivos de su sitio web sin necesidad de una escalada de privilegios.
La única excepción sería directorios de carga de archivos, como usted ha dicho. En este caso, quiere que Apache para realizar cambios en ese directorio.
