nginx的進程所有者是www。5 J8 u: ~2 y, b: e( ^% Q
+ ?7 [! V# f4 X6 A$ @0 H+ e6 S假如文件的所有者是www,那麼webapp可以讀寫所有文件,因為webapp的進程就是nginx。
5 u7 I- m% v4 C7 p: i, K4 A5 r" V+ F7 f4 q' m
假如webapp可以讀寫所有文件,而且webapp有安全漏洞,那麼HK有可能通過webapp獲得www的所有權限,也就是讀寫所有文件,很顯然,這是不安全的。6 M& y1 q9 i0 Z- H+ @' `! B* o
& l2 [ X1 _, z7 X" d我的建議:2 I4 M* Q; U" R4 _5 B1 U+ i7 C6 ?
把文件的所有者改為show並且其他人不可寫,把少部分幾個需要在網頁裡面寫入的文件改為其他人可寫6 Z h- y# I; b8 \! R* _/ G6 i
|