Правильно установите разрешение на / home / user folder для веб-сервера

В настоящее время я настраиваю свой собственный Linux-сервер под управлением CentOs 6. Чтобы проверить безопасность на моем сервере, я написал скрипт PHP, который действует как своего рода «навигатор». Я могу открыть один каталог, открыть файлы и т. Д. И т. Д.

Проблема в том, что мои инструменты позволяют мне подниматься до «/», и я не очень доволен этим. Хотя Apache запускается как «никто», похоже, он может попасть в каждую папку и файл на весь сервер.

  • Нужно ли мне удалять все «java | jre» пакеты из моей системы, чтобы быть уверенным в уязвимости java?
  • Как отправить журналы аудита с помощью audisp-remote и получить их с помощью netcat
  • lxc: запуск виртуального бокса внутри контейнера
  • каков канонический способ запуска демона в сценарии инициализации rhel / centos-6?
  • Почему существует диспропорция в использовании диска, сообщаемая df и du?
  • команда «chmod g + s»
  • Я попытался решить это, как это сделал cPanel, но поскольку у меня нет cPanel, я точно не знаю, как это делается.

    В основном у меня это:

    / home / account / public_html / home / anotherAccount / public_html

    Я хочу сделать так, чтобы «anotherAccount» не смог получить доступ к файлам «account». На самом деле мне бы это понравилось, так что «anotherAccount» не может даже выйти за пределы своего собственного каталога!

    Да, я знаю, что вы думаете: установите suPHP / fastcgi / suExec, но я не могу этого сделать, потому что они едят ресурсы. Я знаю, что это возможно без установки ни одного из них! Я загрузил свой сценарий на какой-то профессиональный, но не очень известный веб-хостинг, и я смог войти внутрь / с ним, но не внутри домашних каталогов, кроме моего собственного. / home / указан как пустой!

    Как защитить свои домашние папки?

  • NOEXEC и RESTRICT в судерах
  • Восстановление из chown -R /
  • параметр ядра init = / bin / bash не работает? (RHEL7, тест RHCSA)
  • Безопасное удаление файла в Рам
  • Почему CentOS уведомляет меня «Login with home = /» Хотя домашний каталог cat уже создан?
  • разрешить webalizer в selinux (centos)
  • One Solution collect form web for “Правильно установите разрешение на / home / user folder для веб-сервера”

    Если вы хотите, чтобы никто не мог получить доступ к вашей домашней папке, кроме вас самих и root, вы должны убедиться, что у других пользователей нет разрешений в вашем homedir. как это:

    chmod o-rwx ~ 

    Это удаляет разрешения на чтение, запись и выполнение из вашего домашнего каталога для других пользователей.

    Если вы также хотите убедиться, что никто из группы, которая владеет вашим родным справочником, не сможет получить к ней доступ, вам также необходимо будет сделать это:

     chmod g-rwx ~ 

    Это также удалит все разрешения для групп членов группы, которая владеет вашим каталогом.

    если вы хотите узнать больше деталей, проверьте manpage man 1 chmod и man 2 chmod . Они должны объяснить вам все подробности.

    КСТАТИ. Мне было бы страшно поставить PHP-скрипт на моем сервере, который позволяет кому-либо использовать файлы браузера, даже если он работает только как пользователь.

    Linux и Unix - лучшая ОС в мире.