[Lugge] Re: Come lavorare con Apache in sicurezza?

  • From: Giorgio Andreoletti <giorgio.andreoletti@xxxxxxxxxxxxxx>
  • To: lugge@xxxxxxxxxxxxx
  • Date: Wed, 24 Jul 2002 17:16:51 +0200


Siccome non penso sia corretto lavorare da root per modificare le pagine
come consigli di lavorare?

no, certo che no ... la filosofia è sempre quella di fare meno cose possibili come root. Crea un utente apposta, e una cartella (dentro alla DocumentRoot di apache) di proprietà di quell'utente, con permessi 755; lì dentro mettici tutte le pagine del tuo sito web, tutte possedute da questo utente, e tutte 644 (così solo questo utente le può modificare, ma tutti le possono vedere). Questa è la soluzione più flessibile in vista di un virtual hosting.


Creare il file come altro utente e poi modificargli i permessi da root?

perchè ti serve root per modificargli i permessi ? l'utente owner basta e avanza !


Ma è giusto che tutti i file e le directory siano di proprietà di root?

è giusto che lo sia la directory root di apache (la DocumentRoot), ma tutto quello che gli sta dentro dovrebbe essere di qualcun'altro.
Pensala in grande: il sistemista non è lo sviluppatore web, quindi a ognuno il suo pezzo di filesystem ! (del resto credo che nessuno darebbe la password di root ad uno sviluppatore web!!!)


Apache gira come root? E' corretto?

il primo processo deve girare come root : tieni presente che però questo processo non serve connessioni all'esterno, ma semplicemente gestisce tutti i vari child (e sono questi ultimi a servire le pagine web ai clients). In genere i child girano come nobody.nogroup, ma non è una cattiva idea creare un utente apache.apache apposta per questo task.


ciao
Giorgio


============================== Giorgio Andreoletti - mentelocale S.r.l. responsabile hardware e networking responsabile sviluppo web www.mentelocale.it giorgio.andreoletti@xxxxxxxxxxxxxx ==============================

<========----------

Prima di scrivere in m-list per favore leggi il regolamento
http://www.lugge.net/soci/manifesto.htm#list

Archivio delle e-mail postate in lista
http://www.freelists.org/archives/lugge/

----------========>



Other related posts: