¿Los directorios de la aplicación web deberían tener el nombre del directorio como propietario y grupo?

Question

¿Los directorios de la aplicación web deberían tener el nombre del directorio como propietario y grupo?

#1 de David (2 votos)

2

Algunos programadores me dijeron que mi forma habitual de cambiar la propiedad y los permisos a mis direcciones de aplicación web no es buena:

sudo chown www-data:www-data /var/www/html/* -R

Me dijo que esto podría resultar en un estado en el que los módulos de CMS maliciosos afectan la molecularidad de las aplicaciones web adyacentes con el mismo propietario.

Creo que esta es una buena solución

1) Cuando creo una nueva aplicación web:

sudo chown -R ${domain}:${domain} ${domain}/*

2) Cuando cambio una aplicación web existente:

cd /var/www/html && sudo chown -R $<domain.tld>:<domain.tld> domain.tld/*

Mi qeustion

Mi pregunta se compone de las siguientes dos preguntas:

¿Era correcto el programador?
¿Cómo debo agregar un usuario en un usuario seguro para darlo como propietario y grupo? (No estoy seguro si elegir useradd / adduser y con qué permisos, para ese propósito.

webserver linux ubuntu wordpress

pregunta Arcticooling 16.01.2018 - 19:17

fuente

1 respuesta

Lea otras preguntas en las etiquetas webserver linux ubuntu wordpress

¿Propósito de RANDFILE en OpenSSL? Pase la contraseña a GPG a través de un script

score 2 · Accepted Answer

No creo que la sugerencia sea, en particular, tener el mismo valor que el usuario y el grupo que el nombre del directorio, sino tener un solo usuario / grupo para cada directorio.

Si utiliza www-data para todos los casos, entonces un compromiso de un solo sitio (o propietario de un sitio malicioso en el caso de alojamiento compartido) puede leerse fácilmente & escribe archivos en los otros directorios del sitio.

Tener varios usuarios (uno por sitio, por ejemplo) mitiga el daño en un compromiso. Por lo general, desearía www-data para el grupo (y los grupos legibles, pero no permisos de escritura) para que su servidor web pueda leer todos los archivos estáticos y ejecutar una instancia por usuario de su servidor de aplicaciones. (Por ejemplo, una instancia de php-fcgi o python gunicorn ejecutándose como propietario de cada sitio, para el idioma apropiado).

Puedes usar adduser , ¡pero yo usaría las marcas --disabled-password y --disabled-login para asegurar que el nuevo usuario no se convierta en un vector de ataque!