我的 Web 伺服器在 Apache 上運行,並且我已限制 Apache 用戶不允許任何超出範圍的內容網站文件根目錄,但是,我需要編寫一個日誌檔案(使用者身份驗證日誌),該檔案需要寫入“/var/日誌/應用程式」
在Centos7中如何實現這個任務呢?我應該使用符號連結嗎?如果是的話,這夠安全嗎?因為此日誌檔案將包含有關使用者的非常敏感的數據,所以我不想向 Apache 使用者授予完全存取權限(僅寫入權限),並且我不想將其保留在文件中的資料夾中也有根嗎?
對於這種情況,最好的解決方案是什麼?
答案1
創造/var/log/app/。
然後修改權限,讓Apache使用者只能寫入目錄:
chown -R apache:apache /var/log/app/
chmod -R 330 /var/log/app/
僅使用此配置root,apache並且sudo特權用戶就寫到資料夾。
並且只有root並且sudo特權使用者和讀紀錄.
這樣,如果 Apache 服務受到損害,攻擊者將無法在不執行某種權限升級攻擊的情況下讀取敏感日誌。