Webアプリケーショングループにcronユーザーを追加したときに発生するセキュリティの問題

Webアプリケーショングループにcronユーザーを追加したときに発生するセキュリティの問題

CentOS 5.6システムのcronユーザーに権限の問題があります。

私のテスト/ステージング環境では、私のcronユーザー(picco-cron)は次のようにグループのメンバーですpicco-cron

[crmpicco@1872-stage1 downloads]$ id picco-cron
uid=601(picco-cron) gid=601(picco-cron) groups=601(picco-cron)

そして私の開発環境は、このグループのメンバーである同じユーザーですdev

[root@dev53 dev_crmpicco]# id picco-cron
uid=503(picco-cron) gid=503(picco-cron) groups=503(picco-cron),555(dev)

私が経験している問題は、PHP Webアプリケーション用のディレクトリセットがあることですdev。これは正しいことなので、開発環境では期待どおりにこれらのディレクトリに書き込んだり読み取ることができます。ただし、テスト/ステージング環境ではpicco-cronグループのメンバーではないためできませんdev

私の質問は - "cron"ユーザーに私のアプリケーションディレクトリの90%に書き込む権限を与えることにセキュリティ上の問題がありますか?グループpicco-cronに追加するのと同じくらい簡単ですか、それともセキュリティ上の問題はありますか?dev

答え1

そこには非常に特別な設定があります。

IMHO、ステージング環境は開発者に書き込みアクセス権を提供しないでください。

したがって、2つの役割が関連しています。

  • Webサーバー - ユーザー名を「apache」と呼びます。
  • 「phpadm」を使用してphp-web-applicationを最新の状態に保つ技術PHPマネージャ

これでphpadmはWebサーバーが提供するファイルに書き込むことができます。この目的のために共通グループ「www」を作りましょう。

PHPファイルはユーザーphpadm、group wwwに属します。 Webサーバーは、ユーザーApache、グループwwwとして実行されます。静的ファイルはphpadmの場合はrw、wwwの場合はroです。

この場合、バックアップ(つまり読み取り)を実行するには、picco-cronがwww-groupを取得する必要があります。

関連情報