危ないサーバ設定
http://www.geeklog.net/docs/install.html#install
内で危ないサーバ設定による導入が紹介されている。
Moodle入門執筆中に奥村先生にご指摘いただいたポイント。以前にも書いたが、
- WebアプリケーションのフォルダのオーナーをWebサーバを実行するユーザ(wwwとかnobody)にしている
- wwwユーザが乗っ取られたら、いろいろされてしまう可能性がある。
- rootか、特定ユーザにして、そのユーザのみ読んだり実行したりできるようにしておく方が安全。
- データを格納するディレクトリのパーミションを777にしている。
- 上記に同じ。同じシステム上のユーザにデータが丸見えになってしまう。
- オーナーをWebサーバ実行ユーザにして、700、そのユーザだけが読み書きできるようにする。
などに注意されたい。
そうしないと、ある日突然「あなたのサーバは乗っ取られました!」などというメッセージが表示されてしまう。
みなさんも気をつけましょう。