、、、Ubuntu 17.04
およびを含むコンピュータにDjango / Pythonサーバーを展開しようとしています。 PostgresとRedisは、TCPポートではなくUnixソケットを介してのみリッスンします。私のサーバーを私のクラウドディレクトリに同期するオプションを使用しており、安全であることを望む設定を設定しました。Postgres
Redis
Nginx
uwsgi
Exim4
-avP
home
iptables
上記の情報は質問とあまり関係がないかもしれませんが、私の環境に関するいくつかの詳細を提供したいと思いました。サーバールートの権限を変更すると700
セキュリティが強化されますか?開発コンピュータで一部のファイルを変更したり、新しいファイルを追加した後に同期した場合は.py
どうなりますか?自動的に変更されますか、それとも700
各タスクの後に再度変更する必要がありますか?chmod
rsync
答え1
Unixファミリーシステムのすべてのファイルにアクセスするには、次のものが必要です。探すそのコンポーネントにつながるすべてのディレクトリコンポーネントに対する権限。
たとえば、読み取り用に開くには、検索権限(出力のビット)と検索権限(出力のビット)が/a/b/c
必要です。x
ls -l
/
/a
/a/b
read
r
/a/b/c
したがって、検索権限を制限すると、/
実際には各ファイルへのアクセスが制限されます。
通常、/
所有者IDは0で、700の権限は、ルート以外のユーザーはどのファイルにもアクセスできないことを意味します。権限に関係なく、すべてのファイルにアクセスできますroot
。
これは、このシステムがすべてのタスクを実行できるようにするには(ほとんどのタスクが1つのファイルまたは別のファイルを開くことに関連しているため)、すべてのタスクはユーザー、つまりすべてのroot
タスクを実行できるユーザーとして実行する必要があることを意味します。 。
したがって、事実上、ユーザーアクセス制御のセキュリティ上の利点を放棄することです。 0700権限を変更するのではなく、すべてがrootとして実行され、0700権限で使用できるように/
システムを変更するだけです。/
答え2
はい、どういう意味ですかchmod 700 --recursive /
?これは問題を引き起こすだけです。サーバーが共有されていないと言われたため、フォルダの権限はそれほど重要ではありません。アプリケーションのセキュリティは重要です。確認してくださいSELinux
。高度な機能ですが。
rsync
権限を処理するスイッチがあります。--chmod=CHMOD affect file and/or directory permissions
同期中にターゲットに適切な権限を適用できます。