Рейтинг:0

Запретить Apache писать в файл

флаг jp

У меня есть веб-сайт на основе CMS, работающей на Apache 2.4/PHP7.4. CMS имеет интерфейс администратора, и внесенные вами изменения записываются в файлы конфигурации в корневом каталоге веб-сайта (/var/www/html/...). В качестве грубой меры безопасности я решил предотвратить запись в эти файлы, изменив права доступа к файлам и владельца.

Apache работает как www-данные пользователя, а обычные права доступа к файлам 644 www-данные:www-данные. Если я chmod и чаун файлы для 444 другой пользователь: другой пользователь и жмем "сохранить" внутри CMS, файл все равно пишется и тоже меняется обратно на 644 www-данные:www-данные.

Содержащий каталог имеет 777 другой пользователь: другой пользователь (по какой-то причине). другой пользователь является членом судо группа, если это как-то имеет значение.

Мой подход обречен? Что дает Apache/PHP возможность контролировать эти файлы независимо от владельца и разрешений? Связано ли это с тем, что один из многих апач2 процессы работают как корень?

флаг jp
777 в каталоге означает, что любой может удалить и воссоздать любые файлы из этого каталога независимо от разрешений самого файла.
флаг jp
О, кажется, я упустил что-то фундаментальное в отношении того, как работают разрешения. Спасибо @AlexD!

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.