pkg update @pkgupdt@hl.pkgu.net
Public

nginx에서 caddy로 이전한 가장 큰 이유도, dac_override를 막고도 동작하는게 컸음. dac_override를 막으면 root 권한을 가져도 파일 퍼미션을 무시하지 못함. 즉 아무 파일이나 읽고 쓸 수가 없음.

nginx 등 어떤 앱들은 root 권한으로 실행됐다가 나중에 내리는데, 이 root일 때 유저 소유의 파일(보통 설정 파일이나 로그, 인증서 등)을 읽음. 근데 이걸 못하게 하면 실행이 안 됨.;; 읽기 자체가 안 되니까.

하지만 dac_override를 막는 것은 보안에 있어서 중요한 요소. 파일에 손대지 못하면 결국 할 수 있는 일은 굉장히 제한됨. 외부에서 접속하는 서버 앱에 필수적으로 가해야할 제한.

0
1
0

If you have a fediverse account, you can quote this note from your own instance. Search https://hl.pkgu.net/@pkgupdt/0198e114-c5bf-7eed-98a5-6873cff60a94 on your instance and quote it. (Note that quoting is not supported in Mastodon.)