Kemungkinan Gandakan:
Batasi setiap pengguna hanya di folder rumahnya sendiri
Saya memiliki server web yang menjalankan 10,04 LTS dan sebagai pemula di dunia administrasi server, saya terikat.
Saya mohon Anda tidak mengalihkan pertanyaan. Saya sadar ada beberapa hal yang salah seperti mengaktifkan root, tetapi bukan itu sebabnya saya memposting di sini. Terima kasih = d
Situasi
Saat ini, saya memiliki tiga pengguna. Root, yang jelas memiliki akses ke semuanya, dan dua pengguna lain yang masing-masing memiliki situs web.
Untuk dua pengguna ini, situs web mereka terletak di folder rumah masing-masing di folder tambahan yang masing-masing memiliki izin Baca, Tulis & Jalankan. Ini adalah satu-satunya folder yang dapat mereka tulis. Mereka tidak dapat menghapusnya, atau mengubah apa pun di luar folder.
Sejauh ini bagus, kecuali secara default, mereka juga dapat membaca file apa pun dalam sistem, yang berarti mereka dapat menavigasi ke folder situs web saya yang lain dan membaca, misalnya, kata sandi basis data dari file konfigurasi WordPress.
Ini jelas bermasalah.
Pengguna mengakses file dan folder mereka melalui SSH dengan FileZilla.
Pertanyaan
- Bagaimana saya bisa mencegah para pengguna ini membaca data sensitif, yaitu bagaimana saya bisa membatasi akses mereka hanya ke folder rumah mereka?
Persyaratan
Pengguna harus terus masuk melalui SSH dengan FileZilla (mis. Tidak ada solusi FTP)
Apache masih harus dapat mengakses folder pengguna (yaitu tidak dapat chmod ke 750)
Masalah yang Diketahui
- Folder yang berisi alat-alat baris perintah (/ bin / bash saya pikir) mungkin harus disinkronkan di folder home pengguna? Tolong jelaskan bagaimana melakukan ini.
Jika Anda memiliki jawaban, saya sangat menghargai jika Anda bisa menulisnya dengan asumsi saya tidak tahu apa-apa tentang baris perintah. Saya seperti pengguna ini yang tidak tahu cara menyalin tempel file di Windows, kecuali dengan baris perintah di Linux T_T
Terima kasih = d
sumber
Jawaban:
Jangan biarkan konfigurasi basis data dapat dibaca dunia. Batasi hanya untuk
www-data
pengguna dan / atau grup. Sebenarnya, batasi seluruh direktori home untuk pemilik danwww-data
grupnya.(
g=s
Bit akan membuat semua file yang baru dibuat mewarisiwww-data
grup.) Juga mengatur umask default (di/etc/profile
atau melalui PAM)027
, yang menolak akses ke "orang lain" secara default.Tentu saja, ini mudah untuk dilewati. Kita hanya perlu menulis halaman web (PHP atau serupa) yang membaca konfigurasi pengguna lain. Solusi yang lebih baik adalah menginstal suPHP , yang membuat halaman web CGI berjalan di akun pemiliknya; dengan suPHP Anda tidak perlu
www-data
kepemilikan grup - cukup batasi semua file untuk pemiliknya (u=rwX,go=
). Namun, ini mungkin dapat memperkenalkan celah keamanan yang berbeda - WordPress sekarang akan memiliki izin menulis ke seluruh situs web, dan mengingat sejarah keamanan WP, ini buruk.Adapun sisa dari sistem -
/var
,/usr
,/etc
- sebagian besar adalah tidak sensitif. Potongan-potongan yang ada, sudah dilindungi oleh izin standar. Jangan repot-repot menyembunyikan sisanya.sumber