我在Centos 7上运行了nodejs。困扰我的是任何节点应用程序都可以遍历整个服务器,更改任何文件并编写新文件。如何阻止节点应用访问级别上方的文件夹?
答案 0 :(得分:1)
这不是一个node.js问题,而是一个关于如何从任何形式的可能行为不端的程序中保护服务器的问题。这是一本关于整本书籍的大量主题。
但回答你的问题:任何软件,包括node.js程序,都在具有用户(uid)和组(gid)以及标准操作系统工具的进程的上下文中运行:文件权限,访问控制列表(ACL)等确定具有特定uid和gid的进程可以访问的内容。
如果您认为node.js程序可以访问整个服务器的文件系统,该文件系统表明该进程以root用户身份运行,或者至少具有超级用户(su)权限;在几乎所有情况下都被视为不良的安全措施。
因此,将node.js程序作为一个用户运行,在文件系统的一个区域之外没有访问权限,该区域已被明确授予最小可能访问权限。
如果您不熟悉该主题,此CentOS文档(https://www.centos.org/docs/5/html/5.1/Deployment_Guide/sec-sel-context-checking-processanduser.html)可能会有所帮助。