linux – 在公共Web服务器上将默认umask更改为002是否安全?

前端之家收集整理的这篇文章主要介绍了linux – 在公共Web服务器上将默认umask更改为002是否安全?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个运行Apache的ubuntu服务器.我有一个将文件写入文件夹的Web应用程序. Apache以www-data:www-data运行,因此所有文件都是使用该用户和组创建的.

我还有一个用户shabbyrobe,我用它登录到框并进行非root更改.如果我想改变被www-data触及的东西,我发现自己正在破解它并且只是做sudo -i,然后在我知道它之前我正在提升所有权限并且确实感觉到了就像我根本不应该成为根.

我将shabbyrobe添加到www-data组并在我的Web应用程序写入的文件夹上运行了chmod -R 2775,但新文件仍然被创建为755,因此用户shabbyrobe无法访问.

基本上,我只是想知道我是否可以安全地将/ etc / profile中的umask从022(这似乎是默认值)更改为002而不会影响我的服务器的安全性.我想我只是想确定默认情况下必须有022这样的原因,而且我不想轻易改变它而不理解这个原因是什么.

更新:为了回应Caleb的建议,我更多地考虑了它,并且考虑到可以仅为apache设置它,并不觉得设置umask系统是个好主意.因此,如果我在/ etc / apache2 / envvars而不是/ etc / profile中将umask更改为002,还有哪些安全考虑因素?

解决方法

将umask设置为002将使创建的所有文件也可由与写入文件用户在同一GROUP中的任何人写入.

根据您的系统配置,这可能会带来严重的安全问题.我不建议做这个系统.如果您有一个特定的用户或程序可以从创建可由其组中的其他用户写入的文件中受益,那么可以将其本地设置为执行该程序或脚本,但这对于使它成为默认行为.

请注意,允许对其他用户可以执行的任何操作进行写访问特别危险,因为对可执行文件的偷偷摸摸的更改可能会被其他用户意外运行并允许恶意代码作为其用户执行,从而危及其帐户.

猜你在找的Linux相关文章