将 cron 用户添加到 Web 应用程序组的安全问题

将 cron 用户添加到 Web 应用程序组的安全问题

我的 CentOS 5.6 机器上存在有关 cron 用户的权限问题。

在我的测试/登台环境中,我的 cron 用户 ( picco-cron) 是一个组 - 的成员picco-cron,如下所示:

[crmpicco@1872-stage1 downloads]$ id picco-cron
uid=601(picco-cron) gid=601(picco-cron) groups=601(picco-cron)

而我的开发环境是同一个用户,是该组的成员dev

[root@dev53 dev_crmpicco]# id picco-cron
uid=503(picco-cron) gid=503(picco-cron) groups=503(picco-cron),555(dev)

我遇到的问题是我的 PHP Web 应用程序目录有一组dev,这是正确的,因此在我的开发环境中我可以按预期向这些目录写入/读取。但是,在测试/登台环境中我不能,因为picco-cron我不是该组的成员dev

我的问题是 - 让“cron”用户有权写入我的应用程序中 90% 的目录是否存在安全问题?是否像添加picco-crondev群组一样简单,还是存在安全问题?

答案1

你那里有一个非常特别的设置。

恕我直言,临时环境不应该为开发人员提供写访问权限。

所以涉及到两个角色:

  • 您的网络服务器 - 让我们称其用户名为“apache”
  • 一个技术 php 管理员,使 php-web-application 保持最新的“phpadm”

现在 phpadm 应该能够写入 Web 服务器提供的文件。让我们为此目的建立一个共同的群组“www”。

PHP 文件属于用户 phpadm、组 www。您的网络服务器以用户 apache、组 www 的身份运行。静态文件对于 phpadm 是 rw,对于 www 是 ro。

在这种情况下,如果您想用它运行备份(即读取),您的 picco-cron 必须获取 www-group。

相关内容