服务器 Gind.cn
  1. 服务器 Gind.cn
  3. wsgi脚本的环境被隔离在httpd,CentOS 7上
Intereting Posts
如何让多人通过SFTP更改文件的mtime-timestamp? Windows Vista是否具有应用程序级别的远程处理function还是我是幻觉? VMWare ESXi错误:无法部署OVF软件包:设备“6”的configuration无效 当我包含httpd-vhosts.conf时,默认的apache站点不会显示出来! 有什么问题? 带有HAProxy后面的乘客的Nginx会导致503错误 服务器在香港的合作地点 什么是需要禁止托pipe的git存储库的危险操作? 为什么不使用iptables NAT路由的ICMP路由 如何将2个CNAMElogging指向同一个外部地址? Apache日志的颜色尾巴 当创build文件或目录时,samba会发出问题 rsyslog电子邮件在SSH / SFTPlogin失败 configuration专用名称服务器和反向DNS 将unix samba 4共享挂载到osx客户端,而不会出现重叠的文件名 replaceRAID控制器,将存储的caching同步到错误的数组?

wsgi脚本的环境被隔离在httpd,CentOS 7上

我正在使用mod_wsgiCentOS 7上托pipe一个简单的wsgi应用程序 ,并尝试删除下面所示的隔离。

wsgi应用程序,

以下脚本是我的wsgi应用程序。

  • 它会创build一个名为/tmp/test-wsgi.txt的文件
  • 枚举/tmp的内容作为一个简单的json列表

码: 

 def application(environ, start_response): status = '200 OK' headers = [('Content-Type', 'application/json')] start_response(status, headers) with open('/tmp/test-wsgi.txt', 'w+') as w: w.write('hello world') files = os.listdir('/tmp') return json.dumps(files)

当我访问我的Web应用程序时,我收到以下回复 

 ["test-wsgi.txt"]

太好了!

然而,

以root身份连接到相同的主机服务器,

我打开了一个shell并执行cat /tmp/test-wsgi.txt

在这里输入图像说明

从玩弄它,似乎在我的wsgi脚本内的任何文件系统操作(枚举/创build/套接字访问)是“环境隔离” (如chroot监狱)。 奇怪的是我没有configuration任何types的隔离。

httpdconfiguration

/etc/httpd/conf.d/my-app.conf 

 <VirtualHost *:80> DocumentRoot /opt/my-app/ WSGIScriptAlias / /opt/my-app/apache/wsgi.py <Directory /opt/my-app/apache> Order allow,deny Allow from all Require all granted </Directory> </VirtualHost>

/etc/httpd/conf/httpd.conf中 

 ... User apache Group apache ...

安全function, PrivateTmp

这是一个名为PrivateTmp的安全function,默认情况下使用httpd systemd服务进行configuration。

如何禁用它?

编辑/usr/lib/systemd/system/httpd.service删除以下行: 

 PrivateTmp=true

然后运行以下命令, 

 sudo systemctl daemon-reload sudo service httpd restart