[Lugge] Re: [Lugge] Re: Come lavorare con Apache in sicurezza?

  • From: "choppoman@xxxxxxxxx" <choppoman@xxxxxxxxx>
  • To: lugge@xxxxxxxxxxxxx
  • Date: Wed, 24 Jul 2002 17:33:25 +0200

Bene!

> 
> no, certo che no ... la filosofia è sempre quella di fare meno cose 
> possibili come root. Crea un utente apposta, e una cartella (dentro alla 
> DocumentRoot di apache) di proprietà di quell'utente, con permessi 755; lì 
> dentro mettici tutte le pagine del tuo sito web, tutte possedute da questo 
> utente, e tutte 644 (così solo questo utente le può modificare, ma tutti le 
> possono vedere). Questa è la soluzione più flessibile in vista di un 
> virtual hosting.

E direi anche in generale come approccio di sicurezza per il server.

> 
> >Creare il file come altro utente e poi modificargli i permessi da root?
> 
> perchè ti serve root per modificargli i permessi ? l'utente owner basta e 
> avanza !

E vero; però visto che ora tutto gira come proprietà di root e non
sapendo se la cosa fosse corretta.....


> 
> >Ma è giusto che tutti i file e le directory siano di proprietà di root?
> 
> è giusto che lo sia la directory root di apache (la DocumentRoot), ma tutto 
> quello che gli sta dentro dovrebbe essere di qualcun'altro.
> Pensala in grande: il sistemista non è lo sviluppatore web, quindi a ognuno 
> il suo pezzo di filesystem ! (del resto credo che nessuno darebbe la 
> password di root ad uno sviluppatore web!!!)

Infatti e mi sa che proprio da questo bisognerà partire...per le prime
modifiche di questo lavoro.


> 
> >Apache gira come root? E' corretto?
> 
> il primo processo deve girare come root : tieni presente che però questo 
> processo non serve connessioni all'esterno, ma semplicemente gestisce tutti 
> i vari child (e sono questi ultimi a servire le pagine web ai clients). In 
> genere i child girano come nobody.nogroup, ma non è una cattiva idea creare 
> un utente apache.apache apposta per questo task.

Fammi capire una cosa; se adesso io ho tutto di proprietà di root e
apache che appartiene al gruppo di root i processi child partono cmq con
privilegi più bassi o e necessario specificarlo da qualche parte?


bye

un choppo sempre più 
preoccuopato!®)?v+®+Þ­è§?X¬¶?«}«è­é^?¢?· ¢V¦z{h?Ûiÿü0Â[ ?éÞ·û(r/æjx?zËh?Ù¥?Ë@­Èb¾*zY^zf¢??,µ«^?yb²Ö¡¶Úÿ
0~·??+-²?àýªÜ?+Þ³ùn?¿

Other related posts: