Il s'agit d'une question canonique sur les autorisations de fichiers sur un serveur Web Linux.
J'ai un serveur Web Linux exécutant Apache2 qui héberge plusieurs sites Web. Chaque site Web a son propre dossier dans / var / www /.
/var/www/contoso.com/
/var/www/contoso.net/
/var/www/fabrikam.com/
Le répertoire de base / var / www / appartient à root: root. Apache s'exécute en tant que www-data: www-data. Le site Web Fabrikam est mis à jour par deux développeurs, Alice et Bob. Les deux sites Web de Contoso sont gérés par un développeur, Eve. Tous les sites Web permettent aux utilisateurs de télécharger des images. Si un site Web est compromis, l'impact doit être aussi limité que possible.
Je souhaite connaître le meilleur moyen de configurer des autorisations afin qu'Apache puisse diffuser le contenu, que le site Web soit protégé des attaques et que les développeurs puissent toujours y apporter des modifications. L'un des sites Web est structuré comme suit:
/var/www/fabrikam.com
/cache
/modules
/styles
/uploads
/index.php
Comment les autorisations doivent-elles être définies sur ces répertoires et fichiers? J'ai lu quelque part que vous ne devriez jamais utiliser les autorisations 777 sur un site Web, mais je ne comprends pas quels problèmes cela pourrait causer. Pendant les périodes de pointe, le site Web met automatiquement en cache certaines pages et stocke les résultats dans le dossier de cache. Tout le contenu soumis par les visiteurs du site Web est enregistré dans le dossier des téléchargements.
Réponses:
Lorsque vous décidez des autorisations à utiliser, vous devez savoir exactement qui sont vos utilisateurs et ce dont ils ont besoin. Un serveur Web interagit avec deux types d'utilisateurs.
Les utilisateurs authentifiés ont un compte utilisateur sur le serveur et peuvent se voir attribuer des privilèges spécifiques. Cela inclut généralement les administrateurs système, les développeurs et les comptes de service. Ils apportent généralement des modifications au système à l'aide de SSH ou de SFTP.
Les utilisateurs anonymes sont les visiteurs de votre site Web. Bien qu'ils ne disposent pas des autorisations nécessaires pour accéder directement aux fichiers, ils peuvent demander une page Web et le serveur Web agit en leur nom. Vous pouvez limiter l'accès des utilisateurs anonymes en faisant attention aux autorisations dont dispose le processus du serveur Web. Sur de nombreuses distributions Linux, Apache s'exécute en tant
www-data
qu'utilisateur, mais cela peut être différent. Utilisezps aux | grep httpd
oups aux | grep apache
pour voir quel utilisateur Apache utilise sur votre système.Notes sur les permissions linux
Linux et d’autres systèmes compatibles POSIX utilisent les autorisations Unix traditionnelles. Il existe un excellent article sur Wikipedia sur les autorisations de système de fichiers , je ne vais donc pas tout répéter ici. Mais il y a quelques choses que vous devriez être au courant.
Le bit d'exécution
Les scripts interprétés (par exemple, Ruby, PHP) fonctionnent parfaitement sans l'autorisation d'exécution. Seuls les fichiers binaires et les scripts de shell ont besoin du bit d'exécution. Pour parcourir (entrer) un répertoire, vous devez avoir une autorisation d'exécution sur ce répertoire. Le serveur Web a besoin de cette autorisation pour répertorier un répertoire ou servir les fichiers qu'il contient.
Autorisations par défaut pour les nouveaux fichiers
Lorsqu'un fichier est créé, il hérite normalement de l'identifiant du groupe de celui qui l'a créé. Mais parfois, vous souhaitez que les nouveaux fichiers héritent de l'ID de groupe du dossier dans lequel ils ont été créés. Vous devez donc activer le bit SGID sur le dossier parent.
Les valeurs d'autorisation par défaut dépendent de votre umask. Umask soustrait les autorisations des fichiers nouvellement créés. Ainsi, la valeur commune de 022 entraîne la création de fichiers avec 755. Lors de la collaboration avec un groupe, il est utile de modifier votre umask en 002 afin que les fichiers créés puissent être modifiés par les membres du groupe. Et si vous souhaitez personnaliser les autorisations des fichiers téléchargés, vous devez modifier umask pour apache ou exécuter chmod après le téléchargement du fichier.
Le problème avec 777
Lorsque vous utilisez
chmod 777
votre site Web, vous n’avez aucune sécurité. Tout utilisateur du système peut modifier ou supprimer n’importe quel fichier de votre site Web. Mais plus sérieusement, rappelez-vous que le serveur Web agit pour le compte des visiteurs de votre site Web et qu'il peut désormais modifier les mêmes fichiers qu'il est en train d'exécuter. S'il existe des vulnérabilités en matière de programmation sur votre site Web, elles peuvent être exploitées pour altérer votre site Web, y insérer des attaques de phishing ou voler des informations à votre serveur sans que vous le sachiez.De plus, si votre serveur fonctionne sur un port bien connu (ce qui devrait empêcher les utilisateurs non root de générer des services d'écoute accessibles du monde entier), cela signifie que votre serveur doit être démarré à l'aide de la racine (même si tout serveur sain perd immédiatement un compte moins privilégié une fois le port lié). En d’autres termes, si vous exécutez un serveur Web où l’exécutable principal fait partie du contrôle de version (par exemple, une application CGI), en laissant ses autorisations (ou, en l’occurrence, les autorisations du répertoire contenant, car l’utilisateur peut renommer l'exécutable) en 777 permet à n'importe quel utilisateur d'exécuter un exécutable en tant que root.
Définir les exigences
Maintenu par un utilisateur unique
Si un seul utilisateur est responsable de la maintenance du site, définissez-le en tant que propriétaire de l'utilisateur dans le répertoire du site Web et accordez à l'utilisateur toutes les autorisations rwx. Apache a toujours besoin d'un accès pour pouvoir traiter les fichiers. Définissez donc www-data en tant que propriétaire du groupe et accordez-lui les autorisations nécessaires.
Dans votre cas, Eve, dont le nom d'utilisateur est peut-être
eve
, est le seul utilisateur qui gèrecontoso.com
:Si vous avez des dossiers qui doivent être accessibles en écriture par Apache, vous pouvez simplement modifier les valeurs des autorisations pour le propriétaire du groupe afin que www-data dispose d'un accès en écriture.
L'avantage de cette configuration est qu'il devient plus difficile (mais pas impossible *) pour les autres utilisateurs du système de surveiller de près, car seuls les propriétaires d'utilisateurs et de groupes peuvent parcourir le répertoire de votre site Web. Ceci est utile si vous avez des données secrètes dans vos fichiers de configuration. Faites attention à votre umask! Si vous créez un nouveau fichier ici, les valeurs des autorisations seront probablement par défaut à 755. Vous pouvez exécuter
umask 027
afin que les nouveaux fichiers par défaut à 640 (rw- r-- ---
).Maintenu par un groupe d'utilisateurs
Si plusieurs utilisateurs sont responsables de la maintenance du site, vous devez créer un groupe à utiliser pour l'attribution d'autorisations. Il est recommandé de créer un groupe distinct pour chaque site Web et de nommer le groupe d'après ce site.
Dans l'exemple précédent, nous avons utilisé le propriétaire du groupe pour attribuer des privilèges à Apache, mais cette propriété est désormais utilisée pour le groupe des développeurs. Étant donné que l'utilisateur propriétaire ne nous est plus utile, sa configuration en tant que racine est un moyen simple de s'assurer qu'aucun privilège n'est protégé. Apache a toujours besoin d'un accès, nous donnons donc un accès en lecture au reste du monde.
Si vous avez des dossiers qui doivent être accessibles en écriture par Apache, vous pouvez définir Apache comme propriétaire de l'utilisateur ou comme propriétaire du groupe. De toute façon, il aura tous les accès dont il a besoin. Personnellement, je préfère en faire le propriétaire de l'utilisateur pour que les développeurs puissent toujours parcourir et modifier le contenu des dossiers de téléchargement.
Bien que ce soit une approche commune, il y a un inconvénient. Étant donné que tous les autres utilisateurs du système disposent des mêmes privilèges sur votre site Web qu'Apache, il est facile pour les autres utilisateurs de naviguer sur votre site et de lire les fichiers pouvant contenir des données secrètes, tels que vos fichiers de configuration.
Vous pouvez avoir votre gâteau et le manger aussi
Cela peut être encore amélioré. Il est parfaitement légal pour le propriétaire d'avoir moins de privilèges que le groupe. Ainsi, au lieu de gaspiller le propriétaire de l'utilisateur en l'attribuant à root, nous pouvons confier Apache au propriétaire de l'utilisateur sur les répertoires et les fichiers de votre site Web. Il s’agit d’un renversement du scénario de responsable unique, mais il fonctionne tout aussi bien.
Si vous avez des dossiers qui doivent être accessibles en écriture par Apache, vous pouvez simplement modifier les valeurs d'autorisation pour le propriétaire de l'utilisateur afin que www-data dispose d'un accès en écriture.
Une chose à laquelle il faut faire attention avec cette solution est que l'utilisateur propriétaire des nouveaux fichiers correspond au créateur au lieu d'être défini sur www-data. Ainsi, tous les nouveaux fichiers que vous créez ne seront pas lisibles par Apache jusqu'à ce que vous les chowniez.
* Séparation des privilèges Apache
J'ai déjà mentionné qu'il était en fait possible pour d'autres utilisateurs de surveiller votre site Web, quel que soit le type de privilèges que vous utilisez. Par défaut, tous les processus Apache s'exécutent sous le même utilisateur www-data. Ainsi, tout processus Apache peut lire les fichiers de tous les autres sites Web configurés sur le même serveur et même parfois y apporter des modifications. Tout utilisateur pouvant faire exécuter un script à Apache peut obtenir le même accès qu’Apache.
Pour lutter contre ce problème, il existe différentes approches pour privilégier la séparation dans Apache. Cependant, chaque approche présente divers inconvénients en termes de performances et de sécurité. À mon avis, tout site ayant des exigences de sécurité élevées devrait être exécuté sur un serveur dédié plutôt que d'utiliser VirtualHosts sur un serveur partagé.
Considérations supplémentaires
Je n'en ai pas parlé auparavant, mais il est généralement déconseillé de demander aux développeurs de modifier directement le site Web. Pour les sites plus importants, il est beaucoup mieux d'avoir un système de publication qui met à jour le serveur Web à partir du contenu d'un système de contrôle de version. L’approche de responsable unique est probablement idéale, mais vous avez un logiciel automatisé au lieu d’une personne.
Si votre site Web autorise les téléchargements qui n'ont pas besoin d'être fournis, ces téléchargements doivent être stockés quelque part en dehors de la racine Web. Sinon, vous constaterez peut-être que des personnes téléchargent des fichiers censés être secrets. Par exemple, si vous autorisez les étudiants à soumettre des travaux, ils doivent être enregistrés dans un répertoire non desservi par Apache. C'est également une bonne approche pour les fichiers de configuration contenant des secrets.
Pour un site Web avec des exigences plus complexes, vous voudrez peut-être examiner l'utilisation des listes de contrôle d'accès . Celles-ci permettent un contrôle beaucoup plus sophistiqué des privilèges.
Si votre site Web a des besoins complexes, vous pouvez écrire un script qui configure toutes les autorisations. Testez-le soigneusement, puis conservez-le en toute sécurité. Cela pourrait valoir son pesant d'or si vous vous retrouvez parfois dans l'obligation de reconstruire votre site Web pour une raison quelconque.
la source
apache
sur des systèmes dérivés de Red Hat.Je me demande pourquoi tant de gens utilisent (ou recommandent) la partie "autre" (o) des droits Linux pour contrôler ce que peut faire Apache (et / ou PHP). En définissant cette partie droite sur autre chose que "0", vous permettez simplement au monde entier de faire quelque chose sur le fichier / répertoire.
Mon approche est la suivante:
cache/
ouuploads/
, où la permission "write" est également nécessaire. Pour donner cette possibilité à PHP FastCGI, il s'exécutera sous la forme bob-www , et bob-www sera ajouté au groupe bob créé automatiquement .AllowOverride
est défini sur autre choseNone
. Pour éviter d'utiliser la partie o des droits, j'ajoute l'utilisateur www-data au groupe bob .Maintenant:
Ceci est une récapitulation, mais dans cette situation, bob est autorisé à SSH. S'il ne devrait y avoir aucun utilisateur autorisé à modifier le site Web (par exemple, le client modifie uniquement le site Web via un panneau d'administration CMS et n'a pas de connaissances en Linux), créez quand même deux utilisateurs, mais donnez
/bin/false
également un shell pour bob , et désactiver son identifiant.Remarque: les utilisateurs ont tendance à oublier que la limitation des droits u (propriétaire) est généralement inutile et peu sûre, car le propriétaire d'un fichier peut exécuter la
chmod
commande, même les droits sont 000.Dites-moi si mon approche présente des problèmes de sécurité, car je ne suis pas sûr à 100%, mais c'est ce que j'utilise.
Je pense que cette configuration a un problème: quand PHP / Apache crée un nouveau fichier (par exemple, upload), il appartiendra à bob-www: bob , et bob ne pourra que le lire. Peut-être que setuid sur le répertoire peut résoudre le problème.
la source
setuid
. Les nouveaux fichiers appartiennent toujours au créateur.bob
. Comment gérez-vous cela? Par exemple. via ssh, les deux utilisateurs se connectent en tant que bob. bob (1) estime qu'il / elle ne se souvient pas du mot de passe et le change en un autre mais reste sécurisé. bob (2) tente de se connecter la prochaine fois, mais il / elle ne peut pas.Étant donné le classement Google sur l'excellente réponse ci-dessus, je pense qu'il y a une chose à noter, et il me semble impossible de laisser une note après la réponse.
Si vous continuez avec l’exemple, si vous envisagez d’utiliser www-data en tant que propriétaire et dev-fabrikam en tant que groupe disposant de 570 autorisations sur le répertoire (ou le fichier), il est important de noter que Linux ignore
setuid
, de sorte que tous les nouveaux fichiers seront la propriété du. utilisateur qui les a créés. Cela signifie qu'après la création de nouveaux répertoires et fichiers, vous devrez utiliser quelque chose de similaire à:Dans Ubuntu 12.04 pour Rackspace OpenStack, j'avais un problème étrange dans lequel je ne pouvais pas obtenir l'autorisation 570 de fonctionner tant que je n'avais pas redémarré le serveur, ce qui a résolu le problème de façon magique. La perte de cheveux à un rythme croissant par rapport à cette question apparemment simple ...
la source
Je vais avec cette configuration:
root
et le grouperoot
, vers0755
.root
et le grouperoot
, les autorisations sur0644
.root
, groupewww-data
, autorisations sur1770
. Le sticky bit ne permet pas au propriétaire du groupe de supprimer ou de renommer le répertoire et les fichiers qu'il contient.www-data
propriétaire utilisateur et le groupe, ainsi que les0700
autorisations pour chaquewww-data
utilisateur téléchargeant des fichiers.Refuser
AllowOverride
etIndex
dans le répertoire de téléchargement, afin qu'Apache ne lise pas les.htaccess
fichiers, et que l'utilisateur Apache ne puisse pas indexer le contenu du dossier de téléchargement:6.
php.ini
configuration:Avec cette configuration, l'
www-data
utilisateur ne pourra plus accéder aux répertoires autres quesiteDir/
/tmp
et/usr/share/phpmyadmin
. Vous pouvez également contrôler la taille de fichier maximale, la taille de publication maximale et le nombre maximal de fichiers à télécharger dans la même demande.la source
Lorsque vous avez un utilisateur FTP appelé "leo", vous devez télécharger des fichiers dans le répertoire Web example.com et vous devez également permettre à votre utilisateur "apache" de pouvoir créer des fichiers uploa-files / sessions / cache dans le répertoire cache, puis procédez comme suit:
Cette commande assigne leo comme propriétaire et le groupe comme apache à example.com. L'utilisateur apache fait partie du groupe apache et hérite donc des autorisations du groupe apache.
Une autre commande qui assure l’autorisation exacte et répond également aux préoccupations de sécurité.
Ici, le premier numéro 2 concerne le répertoire et assure que chaque nouveau fichier créé restera dans les mêmes autorisations de groupe et de propriétaire. 77 est pour le propriétaire et le groupe signifie qu'ils ont un accès complet. 4 signifie pour les autres qu’ils ne peuvent lire qu’auge.
ce qui suit est utile pour comprendre les numéros de permission
la source
L'OMI doit prendre en compte:
Supposons que vous avez un serveur avec lequel diverses données sont testées par l'utilisateur.
L'utilisateur 'test' a là:
$HOMEDIR
$MAIL
/var/www/test
Maintenant réfléchissons à:
test
utilisateur (PHP-FPM) - elle peut supprimer n'importe lequel de ses fichiers!test
groupe (PHP-FPM) - elle peut supprimer n'importe lequel de ses fichiers lorsque le répertoire a un «w» pour le groupe et modifier tout fichier comportant un «r» pour le groupe; et il pourrait toujours les lire - vos clés ssh par exemple!Supposons que PHP est un buggy, et c'est le cas, avez-vous confiance en son
open_basedir
? Avez-vouschroot
votre processus PHP? Qu'est-ce que vous ne voulez pas, voulez-vous qu'il explore tout le système de fichiers?Votre processus d'application Web, par exemple. PHP-FPM, devrait alors:
chroot
Ainsi, vous pouvez faire:
test:test
test-www
test-www:test-www
chmod u=rwX,g=rX,o= /var/www/test/public
chmod u=rwX,g=rwXs,o= /var/www/test/public/upload
(ainsi, l'application créera de nouveaux fichiers comme:test-www:test-www
- elle aura le groupe test-www à cause de la setgid sur le répertoire!)Ainsi, si le processus d'application Web était faux, il ne lirait que des fichiers spécifiques pour lesquels le groupe serait lu, et il ne pourrait écrire que dans
upload
dir. Je recommande fortement d'avoir ceupload
répertoire sur un système de fichiers avec desnoexec,nodev,nosuid
mount
options et de surveiller en permanence tous les nouveaux fichiers Bizzare de ce répertoire, ainsi que de surveiller tous les nouveaux processustest-www
exécutés sous uid.Sous Linux, on pourrait utiliser ACL pour affiner les autorisations. Si plusieurs personnes doivent télécharger des données Web, il serait préférable de séparer le compte humain du compte utilisé pour télécharger des fichiers de données Web, c.-à-d. pour créer un nouveau compte, par exemple.
test-upload
, et l’utilisateur test gérera les clés ssh pour restreindre l’être humain qui pourrait ssh / sftp à cet endroit.sshd_config
connaît lesExposeAuthInfo
options et peut donc être configuré pour enregistrer la clé ssh utilisée pour télécharger les données.Je doute vraiment que la plupart des services d’hébergement Web se soucient de la séparation des privilèges, quand ils écrivent «sécurisé» sans aucune information sur ce que vous obtenez, je dirais qu’ils mentent.
la source
chroot
etuser
,group
à définir pour un pool. mais je ne ferais pas confiancephp_admin_value[open_basedir]
option. J'ai également lu qu'il est préférable d'avoir un maître PHP-FPM distinct par utilisateur, voir ma.ttias.be/a-better-way-to-run-php-fpm. Instancier un démon est facile avec la plupart des distributions Linux et * BSD.