CentOS 5.6システムのcronユーザーに権限の問題があります。
私のテスト/ステージング環境では、私のcronユーザー(picco-cron
)は次のようにグループのメンバーですpicco-cron
。
[crmpicco@1872-stage1 downloads]$ id picco-cron
uid=601(picco-cron) gid=601(picco-cron) groups=601(picco-cron)
そして私の開発環境は、このグループのメンバーである同じユーザーですdev
。
[root@dev53 dev_crmpicco]# id picco-cron
uid=503(picco-cron) gid=503(picco-cron) groups=503(picco-cron),555(dev)
私が経験している問題は、PHP Webアプリケーション用のディレクトリセットがあることですdev
。これは正しいことなので、開発環境では期待どおりにこれらのディレクトリに書き込んだり読み取ることができます。ただし、テスト/ステージング環境ではpicco-cron
グループのメンバーではないためできませんdev
。
私の質問は - "cron"ユーザーに私のアプリケーションディレクトリの90%に書き込む権限を与えることにセキュリティ上の問題がありますか?グループpicco-cron
に追加するのと同じくらい簡単ですか、それともセキュリティ上の問題はありますか?dev
答え1
そこには非常に特別な設定があります。
IMHO、ステージング環境は開発者に書き込みアクセス権を提供しないでください。
したがって、2つの役割が関連しています。
- Webサーバー - ユーザー名を「apache」と呼びます。
- 「phpadm」を使用してphp-web-applicationを最新の状態に保つ技術PHPマネージャ
これでphpadmはWebサーバーが提供するファイルに書き込むことができます。この目的のために共通グループ「www」を作りましょう。
PHPファイルはユーザーphpadm、group wwwに属します。 Webサーバーは、ユーザーApache、グループwwwとして実行されます。静的ファイルはphpadmの場合はrw、wwwの場合はroです。
この場合、バックアップ(つまり読み取り)を実行するには、picco-cronがwww-groupを取得する必要があります。