0
我今天更新爲Passenger 5.1.11,並有理由查看我的Apache錯誤日誌。我該如何避免以root身份運行Phusion Passenger?
在/var/log/apache2/error.log我發現這個條目(許多倍):
警告:潛在的權限提升漏洞。以root身份運行的乘客爲 ,以及乘客根路徑的一部分(/home/jack/.rbenv/versions/2.2.2/lib/ruby/gems/2.2.0/gems/passenger-5.1.11)可以由非root用戶更改:路徑 「/home/jack/.rbenv/versions/2.2.2/lib/ruby/gems/2.2.0/gems/passenger-5.1.11」可以是由用戶「jack」修改(或以該用戶身份運行的應用程序)。將路徑的所有者更改爲root用戶,或避免以root身份運行Passenger。
我正在運行Debian 7並將Passenger安裝爲gem。我沒有使用sudo運行任何安裝命令。
如何避免乘客以root身份運行?我花了幾個小時搜索這個,但空手而歸。
不幸的是,我從上面提到的路徑中的每一個目錄都得到相同的警告,直到我的主目錄。更改我的主目錄的所有者將是PITA。這個警告有多嚴重?它可能會被忽略或需要採取行動嗎? –
它的嚴重程度取決於你的服務器,如果你只有一個應用程序,並且用戶乘客運行你的應用程序,因爲沒有修改提到的路徑的權限,那麼你應該沒問題。問題在於用戶或守護程序有權修改這些路徑,因爲它們可以實現權限升級。 –
好的,謝謝。看起來我必須解決這個問題。 –