Что такое лучшие практики для полномочий на перезаписываемых Apache каталогах? [закрытый]
То, что вам нужно сделать, это что-то вроде этого для вашего набора данных подписки на основе данных:
DECLARE @Date AS DATETIME = '2018-01-01'
if not exists(
select top 1 *
from dbo.table
WHERE [DateColumn] >= @Date)
raiserror ('Subscription need not run!',16,1)
else
select 'aaa.bbb@xxx.com' EmailID
from dbo.table
WHERE [DateColumn] >= @Date
Что это в основном делает, это не возвращает никаких данных, если ничего нет и не удается подписаться .. нет электронной почты генерируется .. если условие if выполнено, то все остальное будет работать так, как вы запланировали.
4 ответа
Существует 2 вопроса спросить здесь - сначала, кто еще (если кто-либо) должен получить доступ к тем файлам? Если существуют другие процессы, которые действуют на те файлы, кого они выполняют как, и как это будет взаимодействовать с выбранным решением? Если бы нет других процессов или пользователей, получающих доступ к файлам, я пошел бы с созданием апачского пользователя владелец, поскольку это - все, что необходимо, и оно следует, один из самых старых принципов в безопасности - только позволил людям, которым нужен доступ к чему-то, имеют его.
Самый строгий доступ, в этом эксклюзивном доступе случая к www/admin с разрешением 0750, является всегда самым безопасным. Обратите внимание, что, в маске разрешения выше, пользователи, которые не являются ни одним www ни члены admin не позволяются получить доступ к содержанию каталога вообще; это в порядке для сокращения возможности, что лишенная полномочий сторона вошла в доступ усиления системы к потенциально конфиденциальной информации, загруженной пользователями.
Не забывайте, что на большинстве *отклоняют платформы, у Вас также есть одна треть, чрезвычайно гибкая опция, то есть, использование установки ACLs setfacl. ACLs являются надмножеством того, что может быть достигнуто с регулярными битами полномочий и методами владения. ACLs являются предпочтительной опцией, сталкиваясь со сложными установками защиты (включая полномочия в расчете на пользователя, владения по умолчанию, и т.д. - но Вы, возможно, должны сначала добавить acl кому: /etc/fstab в опциях монтирования объема, размещающего Ваш каталог, посмотрите man mount.) Можно принять решение использовать ACLs, если двум или больше пользователям нужен доступ к рассматриваемому каталогу, не будучи членами, скажем, admin группа.
Если система используется для других целей, необходимо, вероятно, постараться не давать полномочия через 'других'. Разрешение полномочий здесь было бы в основном средний, что-либо еще работающее на том компьютере, или с доступом к тому компьютеру будет иметь права на те файлы.
Кроме того, Вы могли создать дополнительную группу и сделать апача элементом группы, и кто бы ни находится в администраторе, и измените владение группы на ту группу и дайте полномочия той группе. При использовании группы Вы, вероятно, также должны будете установить 'setgid', обдумал каталог. То, когда setgid укусил, установлено, любые созданные файлы получат тот же состав группы родительского каталога.
Общее правило с безопасностью является общим правилом наименьшего количества privilidge. Вы хотите использовать максимально минимальные полномочия. В этом случае первая опция (перезаписываемый апачем) означает, что каталог может только быть записан в то, если Ваша система поставлена под угрозу через апачского пользователя, тогда как с опцией два (перезаписываемый всеми), любая учетная запись может быть поставлена под угрозу и запись к тому каталогу. В этом случае я пошел бы с опцией один:
администратор drwxr-xr-x 2 www 68 24 сентября 2007 uploadedfiles