È sicuro cambiare l'umask predefinito a 002 su un server web pubblico?

Ho un server Ubuntu in esecuzione Apache. Ho un'applicazione web che scrive i file in una cartella. Apache è in esecuzione come www-data:www-data , per cui tutti i file vengono creati utilizzando quell'utente e il gruppo.

Ho anche un utente shabbyrobe che utilizzo per accedere alla casella e fare modifiche non root. Se voglio cambiare cose che sono state toccate dai www-data , però, mi trovo a rompere e faccio solo sudo -i , poi prima di sapere che sto facendo tutto a un livello di privilegio elevato e in realtà sento come non dovrei avere la root affatto.

  • file system per milioni di piccoli file
  • Autorizzazione Kerberos NFS4 negata
  • Collegamento lento su ssh su Ubuntu
  • Come posso registrare iptables in Ubuntu solo in / var / log / firewall con rsyslogd
  • Come cancella le statistiche di interface su Linux
  • Come eseguire la migrazione di un sistema VMWare Fusion a una partizione effettiva?
  • Ho aggiunto shabbyrobe al gruppo www-data e ho eseguito chmod -R 2775 sulla cartella piena di file scritti dalla mia applicazione web, ma nuovi file sono stati ancora creati come 755 , quindi l'utente shabbyrobe non aveva accesso.

    Fondamentalmente, mi chiedo solo se è sicuro di cambiare l'umask in /etc/profile da 022 (che sembra essere l'impostazione predefinita) a 002 senza compromettere la sicurezza del mio server. Immagino che sto solo capendo che deve essere un motivo per cui è 022 per impostazione predefinita, e non voglio semplicemente cambiarlo senza capire cosa sia la ragione.

    Aggiornamento : in risposta al suggerimento di Caleb, ho pensato più a questo proposito e non mi sembra che sarebbe una grande idea impostare il sistema umask in largo considerando che è ansible impostarlo solo per apache. Quindi se cambio l'umask a 002 in /etc/apache2/envvars invece di /etc/profile , quali considerazioni di sicurezza rimangono?

  • Monitorare o modificare le autorizzazioni di directory?
  • Come trovare il module di memory difettoso dal messaggio MCE?
  • Ho appena fatto un chmod -x chmod
  • Apache mod_proxy ad un altro server
  • Linux Security / Sysadmin Corsi a Londra?
  • Ubuntu: distriggers il persistente-net-generator.rules di udev
  • One Solution collect form web for “È sicuro cambiare l'umask predefinito a 002 su un server web pubblico?”

    Impostazione dell'umask a 002 renderebbe tutti i file creati anche scrivibili da chiunque nello stesso GRUPPO dell'utente che ha scritto il file.

    A seconda della configuration di sistema, ciò potrebbe presentare importnti problemi di sicurezza. Non consiglio di fare questo sistema ampiamente. Se si dispone di un particolare utente o di un programma che potrebbe trarre vantaggio dalla creazione di file che possono essere scritti da altri utenti nel suo gruppo, sarebbe opportuno impostarlo localmente all'esecuzione di quel programma o script, ma sarebbe una Bad Idea ™ renderlo il comportmento predefinito.

    Ricorda che è particolarmente pericoloso consentire l'accesso alla scrittura a qualsiasi cosa che possa essere eseguita da altri utenti perché una modifica sneaky a un file eseguibile potrebbe essere eseguita inaspettata da un altro utente e consentire l'esecuzione di codice dannoso in quanto utenti, compromettendo il proprio account.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.