Permisos y grupos recomendado para Document Root

[Juan José González]

Bueno aqui va otra pregunta sobre el document root, como veran aun siendo desarrollador web nunca me habia puesto tan a fondo con estos temas.

La pregunta es cuales son los permisos recomendados para Document Root de apache, y quien debe ser el dueño de la carpeta y archivos. Tomando en cuenta cuestiones de seguridad y esas ondas que seguramente aquí conocen bien (he visto sus hilos no se escondan!).

Muchas gracias por su ayuda.

--
Cordialmente,

Juan José González
Ingeniero en informática
(044) 669 160 5745

[Renich Bon Ciric]

2010/8/6 Juan José González <juanj...@gmail.com>:

> Bueno aqui va otra pregunta sobre el document root, como veran aun siendo
> desarrollador web nunca me habia puesto tan a fondo con estos temas.
>
> La pregunta es cuales son los permisos recomendados para Document Root de
> apache, y quien debe ser el dueño de la carpeta y archivos. Tomando en
> cuenta cuestiones de seguridad y esas ondas que seguramente aquí conocen
> bien (he visto sus hilos no se escondan!).
>
> Muchas gracias por su ayuda.

Primero, apache no debe ser dueño de del document root. De preferencia
root:WebDevs (WebDevs es un grupo ficticio que, supongo, creaste para
tus desarrolladores).

Es mejor usar Fedora/CentOS con SELinux para etiquetarlo como se debe:
httpd_sys_content_t

El document root debe, por seguridad, tener permisos 1 para el público
(solo x para el directorio) y, los archivos, 4.

Por ejemplo, si root:WebDevs es deño de /var/www/html

# poner dueños
chown -R root:WebAdmins /var/www/html

# poner permisos para root
chmod 771 /var/www/html

# poner permisos a todos los archivos
find /var/www/html -t f -exec chmod 664 \{\} \;

# poner permisos a carpetas
find /var/www/html -t d -exec chmod 771 \{\} \;

Así, el mundo, no puede listar o escribir los archivos en los
directorios; no puede más que leer los archivos y demás. Nótese que,
apache, es miembro del mundo.