Какого пользователя апач и PHP должны выполнять как? Что должны иметь полномочия/var/www файлы?
Вы ssh- луг во всего одно право поля? почему не просто устанавливает PS1 переменная на том поле для использования системы цветов Вы хотите? Если Вы сохраняете его к 16 цветам, у Вас не должно быть проблемы ни на ком современном TERM, большинство должно поддерживать 256 цветов, но большинство не устанавливает TERM=xterm-256color из поля и некоторых дураков (кашель мой кашель работодателя) санируют TERM быть алфавитно-цифровым только. К сожалению, что вставить Ваш PS Вар, очень зависит от оболочки, которую Вы используете.
- не корень
- не корень
- SuEXEC
- Зависит. 644 для файлов и 755 для папок safeish значение по умолчанию.
Не изменяйте владение ничего к www-данным, если Вы не хотите, чтобы php смог отредактировать содержание того файла/папки
Независимо от чего-либо еще Вы делаете: папки должны прочитать и выполнить полномочия для пользователя найти файлы; файлы должны прочитать полномочия для пользователя считать их. Если Вы получаете какие-либо ошибки полномочий при изменении вещей - Вам удалось удалить эти существенно необходимые полномочия.
Если Вы не пишете файлов с помощью своего php приложения, можно оставить файлы принадлежавшими you:you. При этом обстоятельстве мировое разрешение (xx4/5) является тем, которое применяется.
Если бы Вы оставляете файлы, как принадлежится you:you с полномочиями файла 644 (файлы), что это означало бы, то, что только можно отредактировать файлы веб-сайта - www-данные не Вы - таким образом, это не может отредактировать файлы.
Если Вы хотите ограничить доступ к апачу + Вы и блокировать весь другой доступ chown -R you:www-data *. С полномочиями файла 640 и полномочиями папки 750 можно отредактировать, www-данные могут читать - потому что затем апач читает разрешение (x4/5x) группы.
Ограничьте минимумом пути, которые Вы позволяете apache/php писать в - если существует tmp dir, который приложение должно записать в - позволяют этому писать в ту папку только - и для любых перезаписываемых местоположений, если вообще возможный удостоверяются, что это вне документа, базируются или предпринимают шаги, чтобы гарантировать, что этот перезаписываемый путь не доступен для сети.
Обратите внимание, что "Вы" не должны быть корнем. При предоставлении прямого ssh доступа, поскольку корень является индикатором других нарушений правил безопасности (таких как не запрещение входа в систему пароля), но это - целый набор вопросов к себе.
Таким образом, если я понимаю вещи правильно, если апач работает как www-данные, и я хочу, чтобы апач смог прочитать каталог, x укусил потребности, которые будут установлены для мира (другая) группа (o+x), и это также должно быть установлено на всех родительских каталогах полностью цепочка (www, var). И если я хочу, чтобы апач смог читать из файла, затем o+r укусил потребности, которые будут установлены.
Это не верно, Вы не должны устанавливать rwx для 'другого'. Необходимо изменить владельца и/или группу конкретной папки/файла, которую Вы пытаетесь защитить. Например:
chown -R cwd:www-data /var/www/cwd.com
chmod 750 /var/www/cwd.com
Теперь только члены группы www-data может читать /var/www/cwd.com. И только (cwd) можно записать в него. Если Вы хотите позволить Вашим приложениям (через Apache) писать/изменять файлы в том каталоге также Вы chmod это к 770.
Я думаю, что это охватывает все Ваши проблемы, я вижу, что никакие основания для изменения пользовательских апачей не работают под.
-
1. Это не плохое решение, но если бы один пользователь знает, что путь к файлу другого пользователя, мог бы записать сценарий, который считал бы содержание файла и затем загрузил бы это в веб-браузере, который выполнит его как апача - эффективно чтение файла из каталога другого пользователя. Это имеет смысл? Таким образом, даже при установке полномочий папки на 750 существует все еще потенциальная уязвимость системы обеспечения безопасности. – cwd 05.02.2012, 04:08
-
2
-
3@cwd Это было точным вопросом, который я имел. Вот почему я спросил это: serverfault.com/questions/807723 / ошибка … – Nandakumar Edamana 07.10.2016, 18:33