0
我今天更新为Passenger 5.1.11,并有理由查看我的Apache错误日志。我该如何避免以root身份运行Phusion Passenger?
在/var/log/apache2/error.log我发现这个条目(许多倍):
警告:潜在的权限提升漏洞。以root身份运行的乘客为 ,以及乘客根路径的一部分(/home/jack/.rbenv/versions/2.2.2/lib/ruby/gems/2.2.0/gems/passenger-5.1.11)可以由非root用户更改:路径 “/home/jack/.rbenv/versions/2.2.2/lib/ruby/gems/2.2.0/gems/passenger-5.1.11”可以是由用户“jack”修改(或以该用户身份运行的应用程序)。将路径的所有者更改为root用户,或避免以root身份运行Passenger。
我正在运行Debian 7并将Passenger安装为gem。我没有使用sudo运行任何安装命令。
如何避免乘客以root身份运行?我花了几个小时搜索这个,但空手而归。
不幸的是,我从上面提到的路径中的每一个目录都得到相同的警告,直到我的主目录。更改我的主目录的所有者将是PITA。这个警告有多严重?它可能会被忽略或需要采取行动吗? –
它的严重程度取决于你的服务器,如果你只有一个应用程序,并且用户乘客运行你的应用程序,因为没有修改提到的路径的权限,那么你应该没问题。问题在于用户或守护程序有权修改这些路径,因为它们可以实现权限升级。 –
好的,谢谢。看起来我必须解决这个问题。 –