.png)
내 웹 서버는 Apache에서 실행되고 있으며 Apache 사용자가 외부의 어떤 것도 허용하지 못하도록 제한했습니다.웹사이트 문서 루트, 그러나 "/var/로그/앱"
Centos7에서 이 작업을 어떻게 수행합니까? 심볼릭 링크를 사용해야 합니까? 그렇다면 충분히 안전할 수 있을까요? 이 로그 파일에는 사용자에 대한 매우 민감한 데이터가 포함되어 있으므로 Apache 사용자에게 전체 액세스 권한(쓰기 권한만)을 부여하고 싶지 않으며 문서에 있는 폴더에 보관하고 싶지도 않습니다. 루트도요?
이러한 유형의 시나리오에 가장 적합한 솔루션은 무엇입니까?
답변1
만들다 /var/log/app/.
그런 다음 Apache 사용자가 디렉터리에만 쓸 수 있도록 권한을 수정합니다.
chown -R apache:apache /var/log/app/
chmod -R 330 /var/log/app/
이 구성만 사용하면 root권한 있는 사용자가 다음을 수행할 수 있습니다 apache.sudo쓰다폴더에.
그리고 권한 root이 sudo있는 사용자와읽다로그.
이렇게 하면 Apache 서비스가 손상되면 공격자는 일종의 권한 상승 공격을 수행하지 않고는 민감한 로그를 읽을 수 없습니다.