.png)
Mi servidor web se ejecuta en Apache y he restringido al usuario de Apache para que no permita nada fuera delRaíz del documento del sitio webSin embargo, necesito escribir un archivo de registro (Registro de autenticación de usuario) que debe escribirse en una carpeta de "/var/log/aplicación"
¿Cómo logro esta tarea en Centos7? ¿Debería utilizar un enlace simbólico? Si es así, ¿puede ser eso lo suficientemente seguro? Debido a que este archivo de registro contendrá datos muy confidenciales sobre los usuarios, no quiero darle acceso completo al usuario de Apache (solo permiso de escritura), Y no quiero mantenerlo en una carpeta que esté en el Documento. ¿Raíz también?
¿Cuál es la mejor solución para este tipo de escenario?
Respuesta1
Crear /var/log/app/.
Luego modifique los permisos para que el usuario de Apache solo pueda escribir en el directorio:
chown -R apache:apache /var/log/app/
chmod -R 330 /var/log/app/
Sólo con esta configuración root, apachelos sudousuarios privilegiados puedenescribira la carpeta.
Y solo rootusuarios sudoprivilegiados yleerlos registros.
De esta manera, si el servicio Apache se ve comprometido, el atacante no podrá leer los registros confidenciales sin realizar algún tipo de ataque de escalada de privilegios.