.png)
Mein Webserver läuft auf Apache und ich habe den Apache-Benutzer so eingeschränkt, dass er nichts außerhalb desWebsite-Dokumentstamm, Allerdings muss ich eine Logdatei (User Auth Log) schreiben, die in einen Ordner des "/var/log/app"
Wie erreiche ich diese Aufgabe in Centos7? Sollte ich einen symbolischen Link verwenden? Wenn ja, ist das sicher genug? Da diese Protokolldatei sehr vertrauliche Daten über die Benutzer enthält, möchte ich dem Apache-Benutzer keinen vollständigen Zugriff gewähren (nur Schreibberechtigung) UND ich möchte sie auch nicht in einem Ordner aufbewahren, der sich im Dokumentstamm befindet?
Was ist die beste Lösung für ein solches Szenario?
Antwort1
Erstellen /var/log/app/.
Ändern Sie dann die Berechtigungen so, dass der Apache-Benutzer nur in das Verzeichnis schreiben kann:
chown -R apache:apache /var/log/app/
chmod -R 330 /var/log/app/
Mit dieser Konfiguration können rootnur apacheprivilegierte sudoBenutzerschreibenzum Ordner.
Und nur rootund sudoprivilegierte Benutzer undlesendie Protokolle.
Auf diese Weise kann der Angreifer im Falle einer Kompromittierung des Apache-Dienstes die vertraulichen Protokolle nicht lesen, ohne eine Art Angriff zur Rechteausweitung durchzuführen.