我发现很难find关于RHEL5上的网站文件夹结构的理想权限的build议。
我希望多个用户能够更改/添加/删除网站文件夹内的文件 – 但某些文件(如包含数据库密码的文件)需要受到保护,以便团队成员不能对其执行任何操作(读取/删除)。
我要创build一个组www',添加apache和所有用户到该组,添加所有的文件和文件夹到这个组,然后使数据库密码文件拥有的Apache,组阿帕奇 – 但是我发现如果该目录具有对www组的写入权限,则他们仍然可以删除(并重新创build)该密码文件。
是唯一的解决scheme将密码文件移动到它自己的目录并删除写权限?
这可能是一个更好的方法,但是如果你在ext2 / 3上运行,你可以使用这个文件
# chattr +i file
这意味着文件不能被修改,删除或重命名,甚至不能被root用户修改。 如果你想改变文件,你必须首先chattr -i文件
从提到“db密码”的事实来看,我认为apache被configuration为从组www的成员拥有写权限的目录中为某些dynamic生成的页面提供服务。
在这种情况下,无论你把它放在哪里,你都不能保持www的团体成员的秘密。
小组成员可以简单地上传一个恶意脚本到读取密码的服务器并转发给他们(通过电子邮件,ftp,http,…)。
如果用户不能将代码上传到服务器,请将其放在沙箱中,而不是密码文件。