Работа апача от WWW пользователя

Вопросы связанные с работой Apache

Модераторы: Art.i, vasya

Работа апача от WWW пользователя

Сообщение Vincent_ » Вт окт 14, 2014 3:05 pm

На моем сервере стоит 8.4-STABLE FreeBSD. Процессы апача работают под рутом. В конфиге я указал, чтобы апач работал от User www и Group www но это ничего не изменило. Подскажите пожалуйста, почему в настроенном образе ОС апач не работает по дефолту от www, как мне сделать чтобы он начал работать от www и какие могут возникнуть проблемы?
Vincent_
 
Сообщений: 48
Зарегистрирован: Вт окт 13, 2009 4:29 pm

Re: Работа апача от WWW пользователя

Сообщение ls » Вт окт 14, 2014 4:37 pm

У вас apache mpm-itk и процессы делают fork в пользователя владельца WWW домена (то есть того, который внутри хоста как AssignUserId указан)
* FirstVDS в twitter в facebook и в вконтакте *
ls
Support team
 
Сообщений: 6390
Зарегистрирован: Чт мар 01, 2007 10:36 am
Откуда: FirstVDS

Re: Работа апача от WWW пользователя

Сообщение Vincent_ » Ср окт 15, 2014 7:34 pm

ls писал(а):У вас apache mpm-itk и процессы делают fork в пользователя владельца WWW домена (то есть того, который внутри хоста как AssignUserId указан)

При таком раскладе получается, если файлы загружаются через веб, то владелец этих файлов тот же (за пример возьмем admin), что и домена WWW. Если злоумышленнику удастся загрузить вредоносный файл через веб, то через этот файл (допустим *.php) он сможет изменять все файлы в папке домена. Независимо от выставленных прав, главное чтобы владелец тоже был admin.
Но вот если бы файлы загруженные через веб имели пользователя и группу www:www, то при правильно выставленных правах на папки и файлы admin'а злоумышленник не сможет их изменять.
Отсюда у меня вопросы: как мне сделать чтобы апач начал работать от www и какие могут возникнуть проблемы?
Vincent_
 
Сообщений: 48
Зарегистрирован: Вт окт 13, 2009 4:29 pm

Re: Работа апача от WWW пользователя

Сообщение swg » Ср окт 15, 2014 9:01 pm

Не меняйте режим, лучше режима, чем mpm-itk в плане безопасности как-то нет, если только правильно через FastCGI делать. Сделайте все файлы, которые не надо изменять "read-only", для apache, как вариант смените владельца и группу на root, а директорию, куда можно загружать с 777. Но неправильно это. Необходимый регулярный бэкап тоже решает проблему. Ну и вообще, не надо что-бы скрипты в этой директории были бы исполняемыми, да и обязательно надо проверять, что загружают на сервер (в автоматическом режиме, естественно); обычно можно только документы, картинки и т.д.
swg
флудит форум
 
Сообщений: 2384
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov


Вернуться в Apache

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron