Frage : Perl + Unix: Optimale Verfahren der Aktenantriebskraft-Sicherheit

Hallo jeder,

I morgens ein Veteran Perl-Programmierer, aber ein ziemlich neu zur Unix-Sicherheit. Ich habe das cgi-Modul für eine lange Zeit benutzt, um Antriebskräfte zu behandeln, aber habe nicht wirklich viel Aufmerksamkeit auf die Emission von wertpapieren. gelenkt. bis jetzt.

This Fragenabkommen spezifisch mit Unix, Benutzern, Gruppen, Aktenerlaubnis und Verzeichnispositionen. Ich habe kein Problem, Geldstrafe der Antriebskraftarbeit gerade zu bilden, aber ich wundere mich, was die optimalen Verfahren are.

Here mein spezifisches infrage stellen ist:

- bin ich nicht ein privilegierter Benutzer auf diesem Linux system
- meine Perl-Indexe alle, die unter Benutzer „Apache“ laufen gelassen werden und bin ein Mitglied der Gruppe 'apache'< Br/>- alle mögliche Verzeichnisse, oder Akten, die ich mich herstelle, werden mit Inhaber „Tom“ hergestellt und Gruppe 'dev'< Br/>- habe ich Erlaubnis nicht chown oder chgrp
- I immer zur Antriebskraft zu einem Verzeichnis ich benanntes 'uploads'< Br/>- Antriebskraftausfallen verursacht habe, es sei denn „Antriebskraft“ Verzeichnis bis 777 < chmodded-- SICHERHEIT RISK

Since kann ich nicht „chown Entwickler-Antriebskräfte“, die mir „zum Chmod 774 Antriebskräfte mindestens“ zugestehen würden, was sonst ich tun kann?

Thanks für Ihren nützlichen Rat im Voraus,

Tom

Antwort : Perl + Unix: Optimale Verfahren der Aktenantriebskraft-Sicherheit

Im Fall, den Sie im Augenblick, ich sind, würde diese Empfehlungen tun:
- Ein unterschiedliches Dateisystem ohne das vollziehbare Attribut verursachen. /tmp/yourfolder konnte genug sein. Dieses kümmert sich um der Tatsache, die Sie Antriebskräfte begrenzen lassen müssen, also ist ein unterschiedliches /tmp-Dateisystem die beste Sache, zum mit einem Linux in der Produktion zu tun. wenn Sie nicht das haben, können Sie um um Wurzel bitten, um eine Akte herzustellen und sie als unterschiedliches Dateisystem, mit der noexec Wahl anzubringen. das arbeitet ebenso gut.
  In diesem Fall wenn der Eingliederungspunkt von der Wurzel und von der Gruppe „Apache“ besessen wird, müssen Sie diese Erlaubnis zur Einfassungszeit einstellen: 2775 für die Akten und versichern Akten sind bei 664 mit Apache: Apache als der Inhaber: Gruppe.

- Um um Wurzel bitten, um ein crontab zu verursachen, das diese Akten vom temporären Faltblatt und vom Apache nimmt: Apache-Erlaubnis, zum abschließenden Verzeichnis mit der korrekten Erlaubnis und dem Besitz. wwwdata sagen: wwwgroup und Erlaubnis 664 für Akten und 775 für Verzeichnisse. Das ist, genug, damit Apache aber schreibt außen Erlaubnis zurückgreift.

- Nie. Nie links die Akten in Ihrem web server besessen vom gleichen Benutzer, der Apache laufen lässt. das ist, warum ich mich empfehle, etwas wie wwwdata zu verursachen: wwwgroup

Diese Hilfe hoffen Sie. Ich habe diese Art der Einstellung, am sehr hohen Verkehr und an den sehr empfindlichen Web site ohne Probleme zu laufen.