Scripts PHP de propriedade da www-data

2

Eu costumava ter scripts PHP em um servidor dedicado pelo usuário "webroot".

Seria mais fácil codificar e administrar se os scripts pertencessem ao usuário do apache2, "www-data" no meu sistema. Também se sente mais simples e limpo.

Não há ftp nesta caixa e não há outros usuários ou sites.

Por que os scripts php não são propriedade de www-data? Se houver algo contra isso, qual é o pior que pode acontecer?

    
por user12096 31.03.2010 / 15:15

4 respostas

1

Não recomendo usar o usuário do apache como proprietário dos arquivos por motivos de segurança. Se um de seus scripts php do apache estiver comprometido, ele poderá gravar em qualquer arquivo pertencente ao apache.

Você deve usar a propriedade para o usuário do apache estritamente para arquivos que você precisa ser alterado pelo php.

    
por 31.03.2010 / 15:36
0

Parece que você usa o Ubuntu (como o sabor que usam o usuário do www-data)

Eu recomendaria sempre deixar o usuário e grupo do apache (definido no httpd.conf ou apache.conf) ser o proprietário dos arquivos do seu site.

Eu prefiro usar o apache: apache embora

    
por 31.03.2010 / 13:59
0

O perigo é que um script ou o servidor web pode ser comprometido, permitindo que um atacante grave arquivos PHP em seu servidor. Quão realista é essa ameaça depende de coisas como se seus scripts permitissem o upload de arquivos (e como eles verificam seus tipos de arquivo) e qual software está sendo executado. A segurança não é uma proposta sim / não, uma ou outra - normalmente, há oportunidades para tornar um servidor mais seguro em muitos lugares diferentes. Infelizmente, quase sempre é o caso de a segurança estar em desacordo com a conveniência.

    
por 31.03.2010 / 15:37
0

O argumento contra que o mesmo usuário possua os arquivos e execute o processo httpd seria que, se sua instância do apache estivesse comprometida, o invasor poderia modificar os arquivos em seu docroot.

Como de costume, segurança e facilidade de uso estão em desacordo, então você terá que fazer a chamada dependendo do seu ambiente.

Este artigo sobre o apache e a propriedade / permissões de arquivos é um pouco antigo, mas os mesmos princípios ainda se aplicam

link

    
por 31.03.2010 / 15:40