.png)
Meu servidor Web está rodando no Apache e restringi o usuário do Apache para não permitir nada fora doRaiz do documento do site, No entanto, preciso escrever um arquivo de log (User Auth Log) que precisa ser gravado em uma pasta do tipo "/var/log/app"
Como faço para realizar essa tarefa no Centos7? Devo usar um link simbólico? se sim, isso pode ser seguro o suficiente? porque este arquivo de log conterá dados muito confidenciais sobre os usuários, então não quero dar acesso completo ao usuário Apache (apenas permissão de gravação) E não quero mantê-lo em uma pasta que está no Documento Raiz também?
Qual a melhor solução para este tipo de cenário?
Responder1
Criar /var/log/app/.
Em seguida, modifique as permissões para que o usuário do Apache possa gravar apenas no diretório:
chown -R apache:apache /var/log/app/
chmod -R 330 /var/log/app/
Somente com esta configuração root, apachee sudousuários privilegiados podemescreverpara a pasta.
E apenas usuários privilegiados rootesudoleros registros.
Dessa forma, se o serviço Apache for comprometido, o invasor não conseguirá ler os logs confidenciais sem realizar algum tipo de ataque de escalonamento de privilégios.