我很新。 所以我想出了apache2作为www-data用户启动进程。 假设这个用户然后启动不受信任的代码。 如果我想禁止该用户读取任何文件(例如/ etc / fstab),该怎么办? 我将如何去做这件事? Ubuntu的11.04的方式。
您可以通过修改这些文件来拒绝,以便www数据用户无法读取它们。
你可以使用的技巧之一是将这些文件组更改为www数据组,并设置国防部,使该组无法读取文件。
$ chgrp www-data /etc/fstab $ chmod g-rwx /etc/fstab 从PHP方面,你可以使用open_basedir ,在某些情况下,防止读取文件path外的文件设置为open_basedir
/ etc / fstab中是否有秘密,您不希望用户阅读?
一般来说,你会删除文件上其他人的r访问权限,但fstab不包含任何秘密,所以你可能会破坏一些东西。
特别是对于Apache,你可能有select在chroot中运行它,所以它不能在/ var / www之外或者httpd所在的地方读取。