、、、Ubuntu 17.04およびを含むコンピュータにDjango / Pythonサーバーを展開しようとしています。 PostgresとRedisは、TCPポートではなくUnixソケットを介してのみリッスンします。私のサーバーを私のクラウドディレクトリに同期するオプションを使用しており、安全であることを望む設定を設定しました。PostgresRedisNginxuwsgiExim4-avPhomeiptables
上記の情報は質問とあまり関係がないかもしれませんが、私の環境に関するいくつかの詳細を提供したいと思いました。サーバールートの権限を変更すると700セキュリティが強化されますか?開発コンピュータで一部のファイルを変更したり、新しいファイルを追加した後に同期した場合は.pyどうなりますか?自動的に変更されますか、それとも700各タスクの後に再度変更する必要がありますか?chmodrsync
ベストアンサー1
Unixファミリーシステムのすべてのファイルにアクセスするには、次のものが必要です。探すそのコンポーネントにつながるすべてのディレクトリコンポーネントに対する権限。
たとえば、読み取り用に開くには、検索権限(出力のビット)と検索権限(出力のビット)が/a/b/c必要です。xls -l//a/a/breadr/a/b/c
したがって、検索権限を制限すると、/実際には各ファイルへのアクセスが制限されます。
通常、/所有者IDは0で、700の権限は、ルート以外のユーザーはどのファイルにもアクセスできないことを意味します。権限に関係なく、すべてのファイルにアクセスできますroot。
これは、このシステムがすべてのタスクを実行できるようにするには(ほとんどのタスクが1つのファイルまたは別のファイルを開くことに関連しているため)、すべてのタスクはユーザー、つまりすべてのrootタスクを実行できるユーザーとして実行する必要があることを意味します。 。
したがって、事実上、ユーザーアクセス制御のセキュリティ上の利点を放棄することです。 0700権限を変更するのではなく、すべてがrootとして実行され、0700権限で使用できるように/システムを変更するだけです。/