.png)
Мой веб-сервер работает на Apache, и я запретил пользователю Apache доступ к чему-либо, что находится за его пределами.Корень документа веб-сайта, Однако мне нужно записать файл журнала (журнал аутентификации пользователя), который нужно записать в папку "/var/log/app"
Как мне выполнить эту задачу в Centos7? Стоит ли использовать символическую ссылку? Если да, то будет ли это достаточно безопасно? Потому что этот файл журнала будет содержать очень конфиденциальные данные о пользователях, поэтому я не хочу давать полный доступ пользователю Apache (только разрешение на запись), И я не хочу хранить его в папке, которая находится в корневом каталоге документов?
Какое решение является наилучшим для такого типа сценария?
решение1
Создавать /var/log/app/.
Затем измените разрешения так, чтобы пользователь Apache мог только писать в каталог:
chown -R apache:apache /var/log/app/
chmod -R 330 /var/log/app/
Только с этой конфигурацией rootи привилегированные пользователи могутapachesudoписатьв папку.
И только rootпривилегированные sudoпользователи ичитатьжурналы.
Таким образом, если служба Apache будет скомпрометирована, злоумышленник не сможет прочитать конфиденциальные журналы, не выполнив какую-либо атаку с целью повышения привилегий.