www-data e permessi file
Inviato: 12/03/2018, 8:02
Ciao.
Non so se sono stato io o se la solarjessie sia fatta così, però da me quasi tutti i file dentro la /var/www sono dell'utente e del gruppo www-data.
Questo è corretto per i file in scrittura, e credo siano quelli della /var/www/metern/data e della /var/www/123solar/data ma è un problema di sicurezza per tutti gli altri.
Se viene trovato un bug di php, di nginx o del codice delle pagine, un malintenzionato potrebbe modificare uno script, ad esempio programtotal.php, e fare danni importanti.
L'ho letto nella documentazione di base-passwd (/usr/share/doc/base-passwd/users-and-groups.txt.gz):
www-data
Some web servers run as www-data. Web content should not be owned by this
user, or a compromised web server would be able to rewrite a web site. Data
written out by web servers will be owned by www-data.
Mentre il problema mi sembra chiaro, la soluzione lo è meno, non so quale sia la best practice per i permessi dei file che il webserver deve solo leggere ...forse si può farli appartenere all'utente pi.
Non so se sono stato io o se la solarjessie sia fatta così, però da me quasi tutti i file dentro la /var/www sono dell'utente e del gruppo www-data.
Questo è corretto per i file in scrittura, e credo siano quelli della /var/www/metern/data e della /var/www/123solar/data ma è un problema di sicurezza per tutti gli altri.
Se viene trovato un bug di php, di nginx o del codice delle pagine, un malintenzionato potrebbe modificare uno script, ad esempio programtotal.php, e fare danni importanti.
L'ho letto nella documentazione di base-passwd (/usr/share/doc/base-passwd/users-and-groups.txt.gz):
www-data
Some web servers run as www-data. Web content should not be owned by this
user, or a compromised web server would be able to rewrite a web site. Data
written out by web servers will be owned by www-data.
Mentre il problema mi sembra chiaro, la soluzione lo è meno, non so quale sia la best practice per i permessi dei file che il webserver deve solo leggere ...forse si può farli appartenere all'utente pi.