我使用Ubuntu 10.04并安装了Apache2 HTTP服务器。
在安全页面 @ apache.org文档中,他们build议将文件/usr/local/apache/bin/httpd上的权限更改为511 ,但我不明白为什么?
为什么root用户不能写入该文件?
该文件的当前configuration是:
/usr/lib/apache2/mpm-prefork$ ls -l total 1412 -rwxr-xr-x 1 root root 1443482 Apr 13 23:23 apache2
做我目前的configuration为apache2二进制文件被认为是危险的?
(请注意,在Ubuntu中,文件path是/usr/lib/apache2/mpm-prefork/apache2而不是/usr/local/apache/bin/httpd )
根将永远能够写入文件。 我会假设这是针对apache用户拥有二进制文件的情况。 在这种情况下,它是有道理的,因为它阻止了一个被利用的apache用一个狡猾的二进制代替自己(也是如果你在Ubuntu上,你几乎可以肯定地使用apache2.2而不是2.0,而应该读取文档)。
这里最好的select是禁止以root身份login,这样可以缩小评论中提到的攻击潜力。 此外,root可以随时写入任何地方。 也许更安全的chmod战略是500,因为这不允许世界执行它。