规则描述:
其它用户有可能会覆盖配置文件,从而获取更高的权限或者更多的信息。
根据:
审计描述:
执行
#access=$(stat --format="%a" $nginxhome/conf/nginx.conf);if (( (0$access & 0177) != 0 ));then echo "$nginxhome/conf/nginx.conf $access (should be 600 or stricter)";fi
确认为空。
修改建议:
#chown root:root /etc/nginx/nginx.conf
如果启动Nginx为其它非root用户,则改为其它用户
#chmod 600 /etc/nginx/nginx.conf
如果有特殊要求需要同组可读可设置成640
如果nginx.conf中include了其它的配置文件,则其它配置文件的文件属主和权限也要同样设置,例如nginx.conf中有这样的语句:
include /etc/nginx/conf/*.conf,执行下列命令:
#chown -R root:root /etc/nginx/conf
#chmod -R 600 /etc/nginx/conf
检测用例信息:
检测描述 | 期望结果 | 检测结果 |
检查Nginx配置文件权限是否合法 | nginx运行用户:nginx运行用户组 600 | /etc/nginx/nginx.conf nginx:www 644 |