2 votos

PHP scripts propiedad de www-data

Solía tener php scripts propios en un servidor dedicado por el usuario "webroot".

Sería más fácil para la codificación y la administración si los scripts fueran propiedad del usuario apache2, "www-data" en mi sistema. También se siente más simple y limpio.

No hay ftp en esta caja y no hay otros usuarios o sitios.

¿Por qué no tener los php scripts propiedad de www-data? Si hay algo en contra, ¿qué es lo peor que puede pasar?

1voto

jcollum Puntos 10236

No recomiendo usar el usuario apache como propietario de los archivos por razones de seguridad. Si uno de sus apache php scripts está comprometido será capaz de escribir en cualquier archivo propiedad de apache.

Usted debe utilizar la propiedad al usuario apache estrictamente para los archivos que usted necesita para ser cambiado por php.

0voto

Parece que usas Ubuntu (como el sabor ya que usan el usuario www-data)

Yo recomendaría siempre dejar que el usuario y el grupo de apache (establecido en httpd.conf o apache.conf) sea el propietario de los archivos de su sitio web.

Sin embargo, prefiero usar apache:apache

0voto

Devin Ceartas Puntos 1268

El peligro es que un script</strkeep>scripts<strkeep> permiten la subida de archivos (y lo bien que comprueban sus tipos de archivo) y qué software se está ejecutando. La seguridad no es una proposición de sí/no, uno suele buscar oportunidades para hacer un servidor más seguro en muchos lugares diferentes. Desgraciadamente, casi siempre se da el caso de que la seguridad está reñida con la comodidad.

0voto

RadhaSree Puntos 19

El argumento en contra de que el mismo usuario posea los archivos y ejecute el proceso httpd sería que si su instancia de apache se viera comprometida, el atacante podría modificar los archivos de su docroot.

Como es habitual, la seguridad y la facilidad de uso están reñidas, así que tendrás que tomar la decisión en función de tu entorno.

Este artículo sobre apache y la propiedad/permisos de archivos es un poco antiguo, pero los mismos principios se siguen aplicando

http://onlamp.com/pub/a/apache/2004/05/28/apacheckbk.html

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: