我的 Web 服务器在 Apache 上运行,我已限制 Apache 用户不允许任何网站文档根目录但是,我需要编写一个日志文件(User Auth Log),该文件需要写入“/var/log/应用程序“
如何在 Centos7 中完成此任务?我应该使用符号链接吗?如果是这样,是否足够安全?因为这个日志文件将包含有关用户的非常敏感的数据,所以我不想授予 Apache 用户完全访问权限(仅写入权限),并且我也不想将其保存在文档根目录中的文件夹中?
对于这种情况最好的解决方案是什么?
答案1
创造/var/log/app/。
然后修改权限,以便 Apache 用户只能写入目录:
chown -R apache:apache /var/log/app/
chmod -R 330 /var/log/app/
仅使用此配置root,特权apache用户sudo可以写到文件夹。
root并且只有sudo特权用户和读日志。
这样,如果 Apache 服务受到威胁,攻击者将无法在不执行某种权限提升攻击的情况下读取敏感日志。