firstVDS.ru

На моем сервере стоит 8.4-STABLE FreeBSD. Процессы апача работают под рутом. В конфиге я указал, чтобы апач работал от User www и Group www но это ничего не изменило. Подскажите пожалуйста, почему в настроенном образе ОС апач не работает по дефолту от www, как мне сделать чтобы он начал работать от www и какие могут возникнуть проблемы?

У вас apache mpm-itk и процессы делают fork в пользователя владельца WWW домена (то есть того, который внутри хоста как AssignUserId указан)

ls писал(а):У вас apache mpm-itk и процессы делают fork в пользователя владельца WWW домена (то есть того, который внутри хоста как AssignUserId указан)

При таком раскладе получается, если файлы загружаются через веб, то владелец этих файлов тот же (за пример возьмем admin), что и домена WWW. Если злоумышленнику удастся загрузить вредоносный файл через веб, то через этот файл (допустим *.php) он сможет изменять все файлы в папке домена. Независимо от выставленных прав, главное чтобы владелец тоже был admin.
Но вот если бы файлы загруженные через веб имели пользователя и группу www:www, то при правильно выставленных правах на папки и файлы admin'а злоумышленник не сможет их изменять.
Отсюда у меня вопросы: как мне сделать чтобы апач начал работать от www и какие могут возникнуть проблемы?

Не меняйте режим, лучше режима, чем mpm-itk в плане безопасности как-то нет, если только правильно через FastCGI делать. Сделайте все файлы, которые не надо изменять "read-only", для apache, как вариант смените владельца и группу на root, а директорию, куда можно загружать с 777. Но неправильно это. Необходимый регулярный бэкап тоже решает проблему. Ну и вообще, не надо что-бы скрипты в этой директории были бы исполняемыми, да и обязательно надо проверять, что загружают на сервер (в автоматическом режиме, естественно); обычно можно только документы, картинки и т.д.