Questione : Perl + Unix: Pratiche ottimali di sicurezza di upload della lima

Ciao tutto,

I un programmatore del Perl del veterano, ma ragionevolmente nuovo a sicurezza di Unix. Sto utilizzando a lungo il modulo del cgi per trattare i uploads, ma ho non realmente pagato molta attenzione ai problemi di sicurezza. finora. affari di domanda del

This specificamente con Unix, gli utenti, i gruppi, i permessi della lima e le posizioni dell'indice. Non ho problema fare l'indennità del lavoro di uploads appena, ma sto domandandomi che cosa le pratiche ottimali are.

Here è la mia domanda specifica:

- non sono un utente privilegiato su questo system
- di Linux i miei scritti tutti del Perl fatti funzionare sotto l'utente “apache„ e sono un membro Br/>- del apache'< del gruppo 'tutti gli indici o le lime che mi genero sono generate con il proprietario “tom„ e gruppo 'Br/>- del dev'< non ho sempre permessi al upload del chgrp
- I ad un indice ho generato 'il venire a mancare chiamato di Uploads del Br/>- del uploads'< a meno che l'indice “di uploads„ chmodded a 777 <-- SICUREZZA RISK

Since non posso “uploads dello sviluppatore del chown„ che almeno mi concederebbero “al chmod 774 uploads„ che altro può io fare?

Thanks per il vostro consiglio utile in anticipo,

Tom class= del

Risposta : Perl + Unix: Pratiche ottimali di sicurezza di upload della lima

Nel caso che siete ora, io farebbe queste raccomandazioni:
- Generare un file system separato senza l'attributo eseguibile. /tmp/yourfolder ha potuto essere abbastanza. Ciò prenderà la cura del fatto che dovete fare limitare i uploads, in modo da un filesystem separato di /tmp è la migliore cosa da fare con un linux nella produzione. se non avete quello, potete chiedere alla radice per generare una lima e per montarla come filesystem separato, con l'opzione del noexec. quello funzionerà parimenti.
In questo caso, se il punto di supporto è posseduto dalla radice e dal gruppo “apache„, dovete fissare questi permessi a tempo del supporto: 2775 per le lime ed assicurano le lime sono a 664 con apache: apache come il proprietario: gruppo.

- Chiedere alla radice per generare un crontab che prende queste lime dal dispositivo di piegatura e dal apache provvisori: permessi del apache, all'indice finale con i permessi e la proprietà corretti. dire il wwwdata: wwwgroup e permessi 664 per le lime e 775 per gli indici. Quello sarà abbastanza affinchè apache accedi a ma senza scrive i permessi.

- Mai. Mai parte di sinistra le lime nel vostro web server di proprietà dallo stesso utente che sta facendo funzionare apache. ecco perché suggerisco generare qualcosa come il wwwdata: wwwgroup

Sperare questo aiuto voi. Ho questo genere di messa a punto funzionare al traffico molto alto ed ai Web site molto sensibili senza problemi.

Altre soluzioni

Sysprepping Windows 7 pc

Ciclaggio complesso di domanda di Coldfusion

SPContext.Current sta restituendo la posizione di segnale minimo nell'alimentatore di evento “di SPItemEventReceiver„.

IL CSS che IL MIME errato scriv dentro Firefox a macchina su Apache, il testo/css .css di AddType è là

MAcbook pro rifiuta di collegarsi via Ethernet ma impianti via il wifi

Cliente del Java applet - Eccezione di sicurezza

Mostrare tutte le annotazioni nella domanda se niente selezionato in Listbox - la parte II

Mouseover su div.a cambia la disposizione di div.b (CSS puro)

Azionamento duro PowerEdge guast 1850 di incursione 1

asp - La risorsa non ha potuto essere trovata