OpenBSD chroot для прав доступа к файлам nginx/Apache

Question

OpenBSD chroot для прав доступа к файлам nginx/Apache

Я не смог найти удовлетворительного ответа на Goole или различных форумах Stack:

Я заметил, что файлы в / var / www (где nginx и я полагаю, что Apache имеют chroot по умолчанию) имеют разрешения в основном для root: daemon или root: bin. Это верно для roundcube, и я предполагаю, что другие веб-приложения, если они установлены из официальных пакетов. Пользователь nginx, www, кажется, не является частью ни демона, ни bin, поэтому для файлов должен быть установлен флаг чтения, чтобы другие обслуживали их nginx.

Поэтому вопрос заключается в следующем: должен ли я следовать этому примеру в своих собственных приложениях и создавать файлы, принадлежащие root: daemon или root: bin, если они находятся в среде chroot? Или это нормально делать то, что я обычно делаю на других системах и делать их www: www?

Это мой первый вопрос здесь, так что, надеюсь, он достаточно конкретен.

0

security permissions chroot openbsd

Источник

Brett 10 окт '14 в 01:37

1 ответ

Другие вопросы по тегам security permissions chroot openbsd

jitter 10 окт '14 в 22:47 2014-10-10 22:47 · Answer 1 · 2014-10-10 22:47

Последние версии OpenBSD включают в себя Nginx. Apache ушел навсегда. поэтому, чтобы правильно ответить на ваш вопрос, важно знать, какую версию OpenBSD вы используете. если вы еще не используете 5.5, обновление очень рекомендуется.

В общем, вы должны только и тщательно изменять разрешения для каталогов и / или файлов, которые требуют доступа для записи. независимо от среды chroot, это делается для защиты вашего сервера в случае удаленной дыры или около того, чтобы предотвратить изменение файлов (в том числе вредоносных программ или чего-либо другого). Я советую вам не делать такие вещи, как "в другой системе". openbsd - это UNIX, совместимый с POSIX, но он отличается, в противном случае у него будет столько же дыр, сколько и у "других систем".