在 Linux 机器上为 Web 应用设置用户帐户的主要准则是什么?
对我来说它是一个执行文件管理的 Rails 应用程序。
我首先想到的是将访问权限限制在所需的目录上。但我该怎么做呢?通过用户组或通过用户对这些目录的所有权来设置权限。我在用户权限管理方面经验很少。
我还需要考虑什么?我听说过 ACL 和 SELinux,我是否需要研究其中任何一个来保证我的简单 Web 应用程序的安全性?
欢迎就此事提出任何建议以及任何未提及的建议,谢谢,马克斯。
我将使用 Ubuntu。
答案1
您其实不需要太过疯狂,您只需要以不属于任何现有组的唯一用户身份运行您的 Web 应用程序即可。然后,只要您的系统不向其他用户级帐户授予不适当的写入权限(或读取权限),您就没问题。如果您想要更严格的权限,您可以尝试 chroot jailing。如果您在 Google 上搜索“rails chroot”或“apache chroot jail”(不确定您是否使用 Apache 进行前端),就会找到各种文档。
但是,如果你正在进行文件管理,你绝对必须做的事情就是清理你的输入(参见http://guides.rubyonrails.org/security.html了解如何操作)。否则,人们可能会输入错误的格式,从而访问意想不到位置的文件。(chroot 有助于确保它不是系统目录,但除非您这样做,否则仍然允许您应用程序的用户与其他用户交互)。