我对此还不太熟悉。所以我发现 apache2 以 www-data 用户身份启动进程。假设该用户随后启动不受信任的代码。如果我想禁止该用户读取任何文件(例如 /etc/fstab),该怎么办?我该怎么做?顺便说一下,Ubuntu 11.04。
答案1
您可以通过修改这些文件的模式来拒绝,以便 www-data 用户无法读取它们。
您可以使用的技巧之一是将这些文件的组更改为 www-data 组并设置 mod,以便该组无法读取这些文件。
$ chgrp www-data /etc/fstab
$ chmod g-rwx /etc/fstab
从 php 方面你可以使用open_basedir在某些情况下,这会阻止读取路径设置为之外的文件open_basedir
答案2
/etc/fstab 中是否存在您不想让用户阅读的秘密?
一般来说,您会删除其他人对文件的 r 访问权限,但 fstab 不包含任何秘密,因此您很可能会破坏一些东西。
具体来说,对于 Apache,您可能可以选择在 chroot 中运行它,这样它就无法读取 /var/www 之外的内容或您的 httpd 所在的任何地方。