quand dois-je utiliser « apache: apache » ou « personne: personne » sur mes fichiers de serveur Web?
https://stackoverflow.com/questions/1850297
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Contexte: Je me souviens à mon ancien lieu de travail comment l'administrateur du serveur web serait toujours me faire changer les répertoires de téléchargement de fichiers httpd accessibles afin qu'ils appartenaient à apache: apache ou personne: personne .
Il a dit cela était pour des raisons de sécurité.
Question: Pouvez-vous me dire ce que précisément ont été les conséquences sur la sécurité de cette situation? Aussi est-il un moyen d'obtenir apache courir comme personne: personne, et y at-il des implications de sécurité pour cela aussi
TIA
La solution
Il y a une raison valable, en supposant que le httpd (Apache) appartenait à la racine et appartient à la racine du groupe aussi, et qu'il y avait une vulnérabilité qui a été trouvé dans le code lui-même, par exemple, un utilisateur malveillant a demandé une URL qui est plus long que prévu et le seg-httpd en défaut. Maintenant, qui exploitent a découvert un accès racine qui signifie, il a le contrôle sur le système et par conséquent un utilisateur malveillant finiraient par prendre le contrôle et faire des ravages sur la boîte.
C'est une raison pour laquelle la propriété du démon httpd fonctionne sous personne: personne ou apache: apache. Il est effectivement une mesure préventive visant à garantir qu'aucun exploit / vulnérabilité exposera un accès root. Imaginez les conséquences sur la sécurité si cela devait arriver.
Heureusement, maintenant, en fonction de la distribution Linux, BSD variantes (OpenBSD / FreeBSD / NetBSD) ou les variantes Unix commerciales, le démon httpd fonctionne sous un groupe d'utilisateurs qui a le moins de privilèges. Et en outre, il serait sûr de dire que beaucoup de code Apache a été bien testé suffisant et stable. Environ 49% des serveurs dans tous les domaines sont en cours d'exécution Apache. IIS de Microsoft fonctionne à 29% des domaines. Ceci est selon le site de l'enquête Netcraft .
Dans un autre contexte, il montre que d'avoir un programme en cours d'exécution en vertu des privilèges moins serait considéré comme « sûr » et atténue les chances possibles d'exploits, les failles.
Autres conseils
Ceci est le mauvais site pour cette question. Ordinairement vous pas voulez le code source à la propriété du même utilisateur que Apache. Au cas où une faille de sécurité dans Apache ou vos scripts côté serveur se produire, un attaquant pourrait modifier malicieusement les fichiers de votre site Web sans escalade de privilège.
La seule exception serait répertoires de téléchargement de fichiers, comme vous le dites. Dans ce cas, vous voulez Apache pour apporter des modifications à ce répertoire.
