我不确定哪些细节是相关的,但是这里有一些一般的上下文。 我正在AWS上configuration一个Ubuntu 12.04 Web服务器来处理客户的付款信息,然后将他们redirect到一个托pipe的付费页面,这个页面不会返回交易细节以便进一步处理。 预先托pipe的付费页面处理将涉及到远程连接到我们的本地数据库,以便客户信息可以validation和帐户详细信息可以返回显示。
我是pipe理服务器的唯一一个。 大多数目录和文件的默认权限为755,所有者为root:root。 在试图遵循最小权限的安全原则,我想知道删除所有的世界读取/执行权限,所以服务器根剩下750,将自己添加到根组,以保持可用性。 我有Apache作为WWW数据运行,我已经设置为2750的Web根和所有者的权限:www-data – 将自己添加到WWW数据组的可用性。
将系统umask从默认值022更改为027似乎是很常见的,所以任何新创build的权限都是750而不是755,但是我还没有遇到过任何关于对整个文件系统进行“追溯” 。 这是一个好主意,有没有适当的方法来做到这一点?
不要这样做,你的networking服务器将不再有权限阅读盒子上的任何东西 。 您需要从文件系统的根目录一直到Web服务器将从其中读取的目录的权限。
这就是为什么你没有find任何人谈论这样做,这是行不通的。 您的Web服务器以root用户身份启动,但在绑定到特权端口后,会立即切换到另一个用户。
它甚至不会去除-R。 在你的机器上运行chmod 750 /然后尝试加载一个网页。