Como configurar permissões para permitir que o apache tenha acesso seguro a um arquivo em um ambiente compartilhado?

Question

Como configurar permissões para permitir que o apache tenha acesso seguro a um arquivo em um ambiente compartilhado?

Navegue suas respostas

#1 resposta do (4 votos)

5

Esta é uma pergunta de acompanhamento da minha anterior, mas senti que poderia ser mais baseada no Linux.

link

Na minha escola, temos um ambiente de servidor compartilhado com vários usuários e vários grupos.

Grupos relevantes:

students

daemon (executa o apache)

Quero permitir que os alunos tenham acesso total aos arquivos que possuem e que não tenham acesso aos arquivos de outros alunos. Dois alunos diferentes não podem nem mesmo ver os arquivos uns dos outros.

Eu também quero que o apache possa ler e executar todos os arquivos dos alunos. Especificamente, quero que o apache possa ler um arquivo de senha de propriedade de cada aluno, também quero que o proprietário do arquivo de senha tenha acesso total a ele.

Pelo que entendi, a melhor maneira de fazer isso é alterar o proprietário do grupo do arquivo de senha para ser o apache.

Então, depois de ler isto,

link

parece que um simples chgrp resolveria isso.

Mas então eu me deparo com isso:

Você precisa ser o proprietário do (s) arquivo (s), bem como um membro do grupo de destino (ou raiz) para usar esta operação.

Assim, cada um dos alunos não faz parte do grupo daemon, eles não podem executar este comando. Dando-lhes esse grupo seria inútil, pois eles seriam capazes de ver os arquivos de senhas de outros alunos também.

A partir do tópico anterior, verifiquei que as configurações de segurança atuais estão inválidas e agendei uma reunião com o administrador do sistema.

Mas ainda não sei o que devo pedir ao meu systemadmin para fazer.

Eu realmente não posso pedir a ele para alterar manualmente as permissões para cada arquivo de senha no servidor, os nomes de arquivos e locais são diferentes e muitos alunos ainda não estão configurados.

Permitir que os alunos tenham acesso total ao chgrp parece perigoso,

Minha inclinação parece pedir a ele que crie algum tipo de script que indique ao aluno um arquivo e, em seguida, execute o chgrp no lugar do aluno, dando assim à propriedade do grupo apache. Isso parece viável, mas também bastante complicado, pois ainda sou muito novo no Linux. Ele seria capaz de fazer algo assim facilmente?

Eu também considerei o ACL, mas minha linha de pensamento volta ao chgrp, dando aos estudantes acesso ao setacl parece perigoso.

permissions webserver security linux

por Ray 07.08.2012 / 10:52

1 resposta

Tags permissions webserver security linux

No meu log seguro há um novo grupo adicionado que não tenho certeza depois de adicionar semanage Senhas do Samba que expiram em x dias - como as corrigimos para não expirar

score 4 · Accepted Answer

ACLs são a resposta. Os alunos não precisam de nenhuma permissão especial para executar setfacl , um usuário pode definir a ACL de qualquer arquivo que ele possua.

Se você precisar configurar seu sistema para ACLs, consulte Tornar todos os novos arquivos em um diretório acessível a um grupo

Diga aos alunos que, se precisarem que um arquivo seja acessível ao Apache, eles devem ser executados

setfacl -m group:daemon:r ~/path/to/password.file
setfacl -m group:daemon:x ~ ~/path ~/path/to

A permissão x nos diretórios é necessária para acessar arquivos (incluindo subdiretórios) nesses diretórios.