Apache - предоставить доступ к папке /var/log/ только за пределами корня документа? (на основе Centos)

mahen3d

03.12.2022, 10:59

Мой веб-сервер работает на Apache, и я ограничил пользователя Apache, чтобы он не разрешал ничего за пределами Корень документа веб-сайта, Однако мне нужно написать файл журнала (журнал аутентификации пользователя), который необходимо записать в папку "/вар/журнал/приложение"

Как выполнить эту задачу в Centos7? Должен ли я использовать символическую ссылку? если да, может ли это быть достаточно безопасным? потому что этот файл журнала будет содержать очень конфиденциальные данные о пользователях, поэтому я не хочу предоставлять полный доступ пользователю Apache (только разрешение на запись), И я не хочу хранить его в папке, которая находится в документе Тоже рут?

Какое лучшее решение для такого сценария?

1 + 0

сентос

апач-2.2

Рейтинг:0

Server

slightly_toasted

03.12.2022, 18:39

Создавать /вар/журнал/приложение/.

Затем измените разрешения, чтобы пользователь Apache мог писать только в каталог:

chown -R apache:apache /var/log/app/

chmod -R 330 /var/журнал/приложение/

Только с этой конфигурацией корень, апач и судо привилегированные пользователи могут записывать в папку.

И только корень и судо привилегированные пользователи и читать журналы.

Таким образом, если служба Apache будет скомпрометирована, злоумышленник не сможет прочитать конфиденциальные журналы, не выполнив какую-либо атаку с повышением привилегий.

0 + 2

Michael Hampton

03.12.2022, 19:03

Вам также необходимо установить соответствующий контекст SELinux.

Ответить

mahen3d

03.12.2022, 22:38

@MichaelHampton Да, я попробовал это решение, я думаю, проблема в SELinux, у вас есть какие-либо решения или ссылка, как я могу разрешить это в SELinux?

Ответить

Admin

Этот вопрос на других языках:

EN: Apache - Give Access to /var/log/ folder Only Outside the Document Root ? (Centos Based)

TH: Apache - ให้สิทธิ์การเข้าถึงโฟลเดอร์ /var/log/ เฉพาะภายนอกรูทเอกสาร ? (ตาม Centos)

RO: Apache - Oferiți acces la folderul /var/log/ numai în afara rădăcinii documentului? (Bazat pe Centos)

RU: Apache - предоставить доступ к папке /var/log/ только за пределами корня документа? (на основе Centos)

VI: Apache - Chỉ cấp quyền truy cập vào thư mục /var/log/ bên ngoài thư mục gốc của tài liệu? (Dựa trên Centos)

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.