Apache - Oferiți acces la folderul /var/log/ numai în afara rădăcinii documentului? (Bazat pe Centos)

Serverul meu Web rulează pe Apache și am restricționat utilizatorul Apache să nu permită nimic în afara Rădăcina documentului site-ului web, Cu toate acestea, trebuie să scriu un fișier jurnal (Jurnal de autentificare a utilizatorului) care trebuie să fie scris într-un folder al „/var/log/app"

Cum realizez această sarcină în Centos7? Ar trebui să folosesc un link simbolic? dacă da, poate fi suficient de sigur? deoarece acest fișier jurnal va conține date foarte sensibile despre utilizatori, așa că nu vreau să acord acces complet utilizatorului Apache (doar permisiunea de scriere) ȘI nu vreau să-l păstrez într-un folder care se află în Document La fel de rădăcină?

Care este cea mai bună soluție pentru acest tip de scenariu?

Crea /var/log/app/.

Apoi modificați permisiunile astfel încât utilizatorul Apache să poată scrie numai în director:

chown -R apache:apache /var/log/app/

chmod -R 330 /var/log/app/

Doar cu această configurație rădăcină, apache și sudo utilizatorii privilegiați pot scrie la folder.

Si doar rădăcină și sudo utilizatori privilegiați și citit bustenii.

În acest fel, dacă serviciul Apache devine compromis, atacatorul nu va putea citi jurnalele sensibile fără a efectua un fel de atac de escaladare a privilegiilor.