¿La "actualización" de los usuarios de www-data abrirá problemas de seguridad conocidos?

2

En un servidor local de prueba / dev aislado, he elevado la naturaleza del usuario www-data para permitir un flujo de trabajo sin problemas para usar Dropbox en un canal de desarrollo web / webapp.

Ha funcionado bastante bien en mis pruebas iniciales, y si bien no planeo pasarlo a un entorno de producción, tengo curiosidad de si enviaría alguna señal de alerta importante a los profesionales de seguridad si se moviera a un servidor de producción.

Los detalles:

Inmediatamente después de instalar Ubuntu 12.04, eliminé y volví a crear el usuario www-data con:

sudo deluser –remove-home www-data
sudo adduser --system --disabled-login --disabled-password --group www-data

Esto me proporciona el entorno / home / www-data en el que se puede instalar y operar Dropbox con los permisos exactamente cómo Apache / Nginx / PHP / etc esperan que funcionen.

Para elaborar, Dropbox opera en el espacio del usuario con la siguiente configuración:

/home/[USER]/.dropbox-dist - is where the libraries/executables are housed
/home/[USER]/.dropbox - is where it caches data and keeps config data
/home/[USER]/Dropbox - is where it keeps the synchronized data

Es extraño, pero es lo que es. Trabajar en esta configuración significa que todos los datos sincronizados reciben los permisos del usuario que lo ejecuta. En lugar de tener que cambiar los permisos de forma manual o pseudo-automática en el servidor cada vez que se actualizan los archivos en la estación de trabajo, he optado por que www-data solo ejecute el demonio.

Aparte de las preocupaciones obvias de ejecutar una aplicación propietaria con acceso a la red y una mentalidad de operación menos que convencional ... hace que actualizar el usuario de www-data a uno con una presencia algo mayor en la máquina abra problemas de seguridad que no tengo previsto?

Muchas gracias.

    
pregunta JDex 27.04.2013 - 04:02
fuente

1 respuesta

1

En general, este es un enfoque defectuoso de los permisos. Debe mantener www-data y luego crear una nueva cuenta "dropbox", que realice las acciones de dropbox requeridas en nombre de la aplicación web. Una implementación de esto es que una aplicación php podría ejecutar comandos como ese usuario solo cuando sea necesario y realizar todas las demás acciones como los datos de www habituales.

    
respondido por el rook 27.04.2013 - 11:02
fuente

Lea otras preguntas en las etiquetas