我的 CentOS 5.6 机器上存在有关 cron 用户的权限问题。
在我的测试/登台环境中,我的 cron 用户 ( picco-cron) 是一个组 - 的成员picco-cron,如下所示:
[crmpicco@1872-stage1 downloads]$ id picco-cron
uid=601(picco-cron) gid=601(picco-cron) groups=601(picco-cron)
而我的开发环境是同一个用户,是该组的成员dev。
[root@dev53 dev_crmpicco]# id picco-cron
uid=503(picco-cron) gid=503(picco-cron) groups=503(picco-cron),555(dev)
我遇到的问题是我的 PHP Web 应用程序目录有一组dev,这是正确的,因此在我的开发环境中我可以按预期向这些目录写入/读取。但是,在测试/登台环境中我不能,因为picco-cron我不是该组的成员dev。
我的问题是 - 让“cron”用户有权写入我的应用程序中 90% 的目录是否存在安全问题?是否像添加picco-cron到dev群组一样简单,还是存在安全问题?
答案1
你那里有一个非常特别的设置。
恕我直言,临时环境不应该为开发人员提供写访问权限。
所以涉及到两个角色:
- 您的网络服务器 - 让我们称其用户名为“apache”
- 一个技术 php 管理员,使 php-web-application 保持最新的“phpadm”
现在 phpadm 应该能够写入 Web 服务器提供的文件。让我们为此目的建立一个共同的群组“www”。
PHP 文件属于用户 phpadm、组 www。您的网络服务器以用户 apache、组 www 的身份运行。静态文件对于 phpadm 是 rw,对于 www 是 ro。
在这种情况下,如果您想用它运行备份(即读取),您的 picco-cron 必须获取 www-group。