Re: Welchem User sollte das www-Verzeichnis gehören
Jochen Kächelin <jk@linux.amsjk.de> wrote:
> Welchem User sollte denn das /www Verzeichnis gehören?
jemand anders als www-data.
> Ist denn www-data nicht besser als root?
Nein.
Apache laeuft mit UID www-data, Bug in Apache wird gefunden, der
erlaubt, beliebige Kommandos unter der apache-UID auszufuehren,
www-data hat aber nirgends Schreibrechte, die Daten gehoeren root
und koennen daher nicht veraendert werden, daher sind die Auswirkungen
des Bugs nicht so schlimm. Der Angreifer kann nicht seine WaR3z oder
PronZ auf deinem WWW-Server ablegen und dich ins Kittchen bringen.
cu andreas
--
FAQ dieser Liste http://dugfaq.sylence.net/
Unofficial _Debian-packages_ of latest _tin_
http://www.logic.univie.ac.at/~ametzler/debian/tin-snapshot/
Reply to: