сегодня я был тестируя что-то на моем VPS и понял, что пользователь «www-data» имеет доступ для чтения к домашним папкам, а также к внутренним папкам системы, что дает возможному злоумышленнику возможность собирать информацию за пределами каталога /var/www, например RSA_Keys или пакетные файлы в домашнем каталоге.
Сначала я подумал, что ошибся с правами доступа к файлам или что-то в этом роде, но я смог воспроизвести это поведение на свежеустановленной виртуальной машине.
ОС: Ubuntu 20.04 LTS со всеми примененными обновлениями. Веб-сервер: Apache2 со стандартной конфигурацией
Как я тестировал: sudo -u www-data bash
--> nano /home/user/stuff.txt
или nano /folder/rsa.pem
Это ожидаемое поведение? Я что-то пропустил? И как я могу запретить пользователю www-data доступ к определенным папкам?
Заранее спасибо!