タグ付けされた質問 「permissions」

これは、Linux Webサーバー上のファイル許可に関する標準的な質問です。 複数のWebサイトをホストするApache2を実行しているLinux Webサーバーがあります。各Webサイトには、/ var / www /に独自のフォルダーがあります。 /var/www/contoso.com/ /var/www/contoso.net/ /var/www/fabrikam.com/ ベースディレクトリ/ var / www /はroot：rootが所有しています。Apacheはwww-data：www-dataとして実行されています。Fabrikam Webサイトは、2人の開発者、AliceとBobによって管理されています。Contosoの両方のWebサイトは、1人の開発者Eveによって管理されています。すべてのWebサイトでは、ユーザーが画像をアップロードできます。Webサイトが侵害された場合、影響は可能な限り制限する必要があります。 Apacheがコンテンツを提供し、Webサイトが攻撃から保護され、開発者が変更を加えることができるように、アクセス許可を設定する最適な方法を知りたいです。Webサイトの1つは次のように構成されています。 /var/www/fabrikam.com /cache /modules /styles /uploads /index.php これらのディレクトリとファイルにアクセス許可をどのように設定する必要がありますか？私はどこかであなたがウェブサイトで777許可を決して使うべきではないことを読みましたが、どんな問題を引き起こす可能性があるのか​​分かりません。繁忙期には、Webサイトはいくつかのページを自動的にキャッシュし、結果をキャッシュフォルダーに保存します。Webサイトの訪問者によって送信されたすべてのコンテンツは、アップロードフォルダーに保存されます。

310 linux  apache-2.2  security  web-server  permissions 

これは、ファイルの許可と777が「破壊的」である理由についての標準的な質問です。 サーバー障害（OSの再インストール）に既に多くの参照が存在するため、この問題を修正する方法を尋ねているわけではありません。なぜ破壊的なことをするのですか？ このコマンドを実行したことがある場合は、すぐにオペレーティングシステムを破壊してください。制限の削除が既存のプロセスに影響を与える理由はわかりません。たとえば、何かへの読み取りアクセス権がなく、端末での短いタイプミスの後、突然アクセス権が得られるようになった場合...なぜLinuxが壊れるのですか？

255 linux  permissions  chmod 

複数の開発者がプルできる必要があるステージングサーバーにGitリポジトリがあります。git-init私が探しているものに非常に近い旗を持っているようだ：--shared、私も、そのリポジトリに引っ張って複数の人が欲しい除いて。git-cloneさんの--sharedフラグは完全に異なる何かを。 既存のリポジトリの権限を変更する最も簡単な方法は何ですか？

216 permissions  git  users  share 

Ubuntu 13.04で実行されているApache / 2.4.6にApacheサーバーを更新しました。以前は、次のようなvhostファイルがありました。 <Directory "/home/john/development/foobar/web"> AllowOverride All </Directory> しかし、私が走ったとき、「禁止されています。アクセスする権限がありません/」 少しグーグルを行った後、サイトを再び機能させるには、vhostが次のようになるように、次の行「Require all granted」を追加する必要があることがわかりました。 <Directory "/home/john/development/foobar/web"> AllowOverride All Require all granted </Directory> これが「安全」であり、セキュリティ上の問題を引き起こさないかどうかを知りたい。Apacheのページで、「これは「すべてから許可」および「すべてから拒否」ディレクティブによって以前に提供されていた機能を模倣しています。このプロバイダーは、「許可」または「拒否」の2つの引数のいずれかを取ることができます。例では、すべてのリクエストへのアクセスを許可または拒否します。」 しかし、これがなんらかのセキュリティ問題であるかどうか、または過去にあなたが必要としなかったのになぜ私たちが今それをしなければならないのかについては述べていませんでした。

95 apache-2.2  apache-2.4  permissions  access-control-list 

Cloudfrontを介してS3バケットを配布しようとしていますが、何らかの理由で唯一の応答は次のようなAccessDenied XMLドキュメントです。 <Error> <Code>AccessDenied</Code> <Message>Access Denied</Message> <RequestId>89F25EB47DDA64D5</RequestId> <HostId>Z2xAduhEswbdBqTB/cgCggm/jVG24dPZjy1GScs9ak0w95rF4I0SnDnJrUKHHQC</HostId> </Error> 使用している設定は次のとおりです。 そして、これがバケットのポリシーです { "Version": "2008-10-17", "Id": "PolicyForCloudFrontPrivateContent", "Statement": [ { "Sid": "1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity *********" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::x***-logos/*" } ] }

91 permissions  amazon-web-services  amazon-s3  amazon-cloudfront 

新しいユーザー postgresqlにSELECT権限を付与するワンライナーはありますか？ 次の擬似コードを実装するもの： GRANT SELECT ON TABLE * TO my_new_user;

86 permissions  sql  postgresql  user-management 

これは馬鹿げた質問だと感じていますが、これは私がしばらくの間疑問に思っていたものです。 私はVPSを持っていますが、これは私の最初の大きなLinuxベンチャーです。それにアクセスできるのは私だけです。私の質問は、アカウントを作成してsudoアクセスを許可するのではなく、rootとしてログインするだけでは何が問題なのですか？sudoerがrootができることをすべて実行できる場合、違いは何ですか？ハッカーがパスワードを標準の非ルートアカウントにクラックできる場合、ハッカーはsudoコマンドを実行することもできます。

83 linux  ssh  permissions 

私は過去数ヶ月にわたってLinux（Fedora 10、11）を取り上げてきました（そしてそれを大いに楽しんでいます。コンピューターを何度も発見するようなもので、学ぶべきことがたくさんあります）。 以下に示すように、ユーザーを/ etc / sudoersファイルの最後の行に追加したので、sudoコマンドを実行するときにパスワードの入力を求められません。 MyUserName ALL =（ALL）NOPASSWD：ALL これで、sudoを使用してコマンドを実行するたびに、タスクを実際に実行する前にかなりの時間（〜10秒）一時停止します。これはなぜなのか、どうすれば修正できるのか？Fedora 11 x86 64でSudoバージョン1.7.1を実行しています。

83 linux  permissions  sudo 

次の簡単な方法でユーザーの特権を設定できることを知っています。 grant all on [database name].[table name] to [user name]@[host name]; しかし、既存の特権をどのように確認できますか？ 助成金で使用されるデータと同様のデータを確認する必要があります。つまり、特定のユーザーが特定のホストから特定のデータベースの特定のテーブルに特定のアクセス権を持っていることを知りたいのです。 どうすれば入手できますか？

69 mysql  users  permissions 

更新された要約 / var / wwwディレクトリの所有者root:rootは、だれも使用できないことを意味し、まったく役に立ちません。私たちは皆、実際に機能する（そして「root」としてログインするべきではない）Webサーバーが必要なので、これを修正する必要があります。 2つのエンティティのみがアクセスを必要とします。 PHP / Perl / Ruby / Pythonはすべて、フォルダーとファイルにアクセスする必要があります（多くの場合/uploads/）。これらのスクリプト言語は、nginxまたはapache（またはFastCGI for PHPなど）で実行する必要があります。 開発者 彼らはどのようにアクセスしますか？どこかで誰かがこれをやったことがあることは知っています。ただし、数十億のWebサイトが存在する場合、このトピックに関する詳細情報があると思われます。 777が所有者/グループ/その他の完全な読み取り/書き込み/実行権限であることを知っています。したがって、これはランダムなユーザーに完全な許可を与えるため、正しい必要はないようです。 次のように使用する必要があるアクセス許可/var/www： gitやsvnなどのソース管理 「websites」のようなグループのユーザー（または「www-data」に追加されることもあります） apacheやlighthttpdなどのサーバー PHP / Perl / Ruby すべてのファイル（およびディレクトリ）を読み取って作成し、実行できますか？ 私が正しい場合、RubyおよびPHPスクリプトは直接「実行」されませんが、インタープリターに渡されます。/var/www...のファイルの実行許可は必要ありませんか？したがって、正しい許可はどのようにchmod -R 1660なるでしょう これら4つのエンティティで共有可能なすべてのファイル 誤って実行できないすべてのファイル ディレクトリから他の全員を完全にブロックする 将来のすべてのファイルの許可モードを「スティッキー」に設定します これは正しいです？ 更新1：ファイルとディレクトリに異なるアクセス許可が必要な場合があることに気付きました-上記のファイルについて話していたので、ディレクトリアクセス許可が必要かどうかわかりません。 更新2：/var/www上記の4つのエンティティの1つが常にフォルダーおよびサブフォルダーを多くのレベルの深さで常に追加（および削除）するため、フォルダーの構造が大幅に変更されます。また、他の3つのエンティティが読み取り/書き込みアクセスを必要とする可能性があるファイルを作成および削除します。したがって、アクセス許可は、ファイルとディレクトリの両方に対して上記の4つのことを行う必要があります。これらのどれも実行許可を必要としないので（上記のruby / phpに関する質問を参照）rw-rw-r--、これら4つのエンティティは信頼できる人員（＃2を参照）と他のすべてのユーザーによって実行されるため、許可はすべて必要で完全に安全であると想定しますシステムには読み取りアクセスのみがあります。 更新3：これは、個人用開発マシンおよび企業のプライベートサーバー用です。共有ホストのようなランダムな「ウェブ顧客」はありません。 更新4： slicehostによるこの記事は、wwwフォルダーのアクセス許可をセットアップするために必要なものを説明するのに最も適しているようです。ただし、PHPまたはsvn / gitを使用するapache / nginxのユーザーまたはグループの実行方法と変更方法はわかりません。 更新5：私は最終的に、これらすべてを機能させる方法を見つけました（以下の回答）。しかし、これが正しい安全な方法であるかどうかはわかりません。したがって、私は賞金を開始しました。wwwディレクトリを保護および管理する最良の方法を持っている人が勝ちます。

69 linux  permissions  chmod 

サーバー上で実行されている一連のWindowsサービスは、他のサービスを管理する1つのサービスを除いて、互いに独立した一連の自動化されたタスクを実行します。 サービスの1つが応答またはハングに失敗した場合、このサービスはサービスの再起動を試み、試行中に例外がスローされた場合、代わりにサポートチームにメールを送信して、サービスを自分で再起動できるようにします。 少し調べてみると、KB907460に記載されている回避策から、サービスが管理者権限を実行しているアカウントを与えるまで、いくつかの「解決策」に出会いました。 これらの方法のいずれにも慣れていません-Microsoftのナレッジベースの記事に記載されている最初の方法の結果を理解していませんが、サービスが実行されているアカウントへの管理者アクセスを絶対に与えたくありません。 ローカルセキュリティポリシーをざっと見てみましたが、アカウントがサービスとしてログオンできるかどうかを定義するポリシー以外は、サービスを参照しているように見えるものは他にありません。 これをServer 2003とServer 2008で実行しているので、アイデアや指針は喜んで受け取られます！ 明確化：特定のユーザーまたはグループにすべてのサービスを開始/停止/再起動する権限を付与したくありません-特定のユーザーまたはグループに特定のサービスのみでこれを実行する権限を付与できるようにします。 さらなる明確化：これらのアクセス許可を付与する必要があるサーバーはドメインに属していません-それらはファイルを受信し、それらを処理し、サードパーティに送信する2つのインターネット接続サーバーであり、いくつかのWebサイトを提供しています。 Active Directoryグループポリシーは使用できません。申し訳ありませんが、私はこれを明確にしませんでした。

61 windows  permissions  group-policy  security  windows-service 

特定のデータベースのすべてのテーブルに対するすべての特権を、新しいpostgresユーザー（所有者ではない）に付与しようとしています。それはGRANT ALL PRIVILEGES ON DATABASE my_db TO new_user;しないようです。上記のコマンドを（postgresユーザーとして）正常に実行した後、new_userとして以下を取得します。 $ psql -d my_db my_db => SELECT * FROM a_table_in_my_db; ERROR: permission denied for relation a_table_in_my_db 2つの質問： 1）my_dbのすべてのテーブルに対するすべての権限を付与しない場合、上記のコマンドは何をしますか？ 2）すべてのテーブルに対するすべての権限をユーザーに付与する適切な方法は何ですか？（将来作成されるすべてのテーブルを含む）

60 permissions  sql  postgresql 

Ubuntu touch： `/var/run/test.pid 'にタッチできません：許可が拒否されました 私はstart-stop-daemonを起動しています。/var/runにPIDファイルを書きたいですstart-stop-daemonはmy-program-userとして実行されます / var / run設定はdrwxr-xr-x 9ルートルートです ルートグループにmy-program-userを配置しないようにします。

51 ubuntu  permissions  root  pid 

フォルダーに自分cert.pemとcert.keyファイルがあり/etc/apache2/sslます。 最も安全な許可と所有権は次のとおりです。 /etc/apache2/ssl ディレクトリ /etc/apache2/ssl/cert.pem ファイル /etc/apache2/ssl/cert.key ファイル （https://もちろんアクセス作品を保証する:)。 おかげで、 JP

50 apache-2.2  security  permissions  ssl  file-permissions 

ユーザー/データベースに対して次の許可があります mysql> SHOW GRANTS FOR 'username'@'localhost'; +---------------------------------------------------------------------------+ | Grants for username@localhost | +---------------------------------------------------------------------------+ | GRANT USAGE ON *.* TO 'username'@'localhost' IDENTIFIED BY PASSWORD 'xxx' | | GRANT ALL PRIVILEGES ON `userdb`.* TO 'username'@'localhost' | +---------------------------------------------------------------------------+ データベースへの外部アクセスを有効にするには、localhostをに変更する必要があります%。これを行う1つの方法は、REVOKEすべてのアクセス許可を設定して再設定することです。問題は、わからないパスワードが設定されているため、許可を取り消すと元に戻せないことです。 ホスト名に変更する方法があるlocalhostの%権限自体を取り消さずに（再びとは）？

44 mysql  database-administration  permissions