大多数 VPS 都有一个由 1 个以上的用户组成的团队,他们除了配置系统并在网站和/或数据库上工作之外什么都不做。我假设所有团队成员都是像“开发人员”这样的团队,因此他们都可以根据需要处理 Web 根目录中的文件。
考虑到这一点,将umask 007是一个比默认设置更好的设置022?毕竟,不应该有任何“其他/世界”用户,因为这台机器的主要目的是为网页提供服务。所有开发人员都可以访问,并且没有任何“客人”登录...
AskOverflow.Dev
是和不是。
umask是有时很好改变的东西。通常,最好“默认拒绝”,因为默认情况下对大多数事情的权限最低。您可能会发现,如果您更改默认 umask 并且没有特别了解权限,您可能会遇到默认权限阻止事情正常工作的情况。例如,通过 CPAN 安装的 PERL 模块未将权限设置为公共可读作为安装的一部分,然后 Web 应用程序无法读取它。
确实,强化权限的主要好处将体现在多用户系统中。然而,重要的是要特别注意在 Internet 可访问的守护程序中可以轻松访问的任何内容。
对于硬化,通常最好查看任何 SUID 或可公开写入的内容。我发现自己正在验证权限并将它们调整为最不需要的权限,就像我开始我的一天一样。当我更改 umask 时,通常是出于特定目的,例如针对特定用户集或以编程方式创建文件时。
如果您正在为您的服务器和一般加固技术寻找一些“最佳实践”,请查看 Bastille。如果我没记错的话,里面有一些东西改变了默认的 umask。
巴士底狱
这不是一个直接的答案,但“最佳实践”是不要让多个帐户在 Web 根目录上工作。相反,使用版本控制系统(任何,对于此目的无关紧要)和部署脚本来控制 Web 根目录。这解决了您的权限问题,并且是任何类型的工作负载(流量)或劳动力(更多开发人员)扩展的绝对先决条件。