RRD-Tools - Die Rechte ordnen

Pfiffikus

Member
Hallo Leute,

ich bin dabei, auf dem Raspberry Pi eine Steuerungssoftware zu fertigen, mit der ein Koiteich überwacht und gesteuert werden kann. Geschrieben ist das meiste in PHP. Die Ausführung übernimmt apache. Einzelheiten gibt es hier zu lesen:
http://www.koi-gehlhaar.de/koi/forum/viewtopic.php?f=14&t=19369

Die kleinen Computer sind zwar üblicherweise hinter einer Fritzbox, aber ich versuche trotzdem, so sorgfältig wie möglich, die Serverssicherheit zu erhalten.


Bisher werden anfallende Daten nur in MySQL notiert. Der Benutzer www-data bisher keine Schreibrechte im Dateibaum. Insbesondere hat er keine Schreibrechte in /var/www . Ich werde www-data Schreibrechte in /var/lib/teich einräumen müssen, wo die RRD-Datenbanken geschrieben werden. Das sollte kein Problem sein, denn Dateien in diesem Verzeichnis lassen sich nicht anzeigen oder gar ausführen.

Jetzt möchte ich aber die RRD-Tools zum Visualisieren von Daten einsetzen. Dazu müssen diese Tools eine *.png-Datei schreiben, die von einer HTML-Datei eingebunden und angezeigt wird.
Welche Verzeichnis/Rechtestruktur ist in solchen Fällen korrekt?
  • Diagramme werden in /var/www/temp angelegt und direkt adressiert.
  • Ein Verzeichnis außerhalb von /var/www wird für www-data beschreibbar gemacht. Die Dateien können dann mittels Alias in der apache-Konfiguration angezeigt werden.
  • Beide Varianten ergeben keinen Unterschied in Sachen Sicherheit.
Ich möchte vermeiden, dass ein Angreifer, der apache in seine Kontrolle gebracht hat, Schadsoftware irgendwo hin schreibt, wo diese abrufbar oder sogar ausführbar ist. Geht das?


Pfiffikus,
der auch im internen Netz keine unnötigen Scheunentore öffnen will
 
Top