kit*_*irl 0 php http https apache-2.4
我的服务器是centos 7, php 5.4, apache 2.4。我的网站位于/var/www.
至于apache是唯一一个用户读或写/var/www,我将所有文件和文件夹的所有者和组设置为apache:
对于文件夹和文件只读:-r------- 1 apache apache 922 Jun 3 2014 connect.php
对于需要写入的文件:-rw------- 1 apache apache 922 Jun 3 2014 connect.php
表示只有600或400文件权限。(*.php 不需要x权限)
至于文件夹权限,只有500或700。
这应该是最佳实践,因为提供尽可能少的广告许可。
有什么安全问题吗?
不,这不是最佳实践。用户运行Apache作为应该不拥有任何文件或目录。此用户应该只对任何内容具有读取权限,尤其是对可执行文件(例如 )*.php,除非特定情况(例如上传目录)特别需要写入权限。
原因很简单:如果攻击者能够找到允许他们在 Web 服务器进程中执行自己的代码的漏洞,那么他们就可以写入 Web 服务器可以写入的任何文件。如果 Web 服务器对可执行文件具有写入权限,则这意味着只要用户访问相应的 URL,它们就可以更改可执行文件以执行攻击者选择的任何操作。即使他们只有非可执行文件(例如*.html)的写访问权限,这也使他们能够控制发送给您网站用户的内容,包括向他们发送恶意 javascript 或嵌入内容的能力。
将文件归网络服务器用户所有chmod 400也好不了,因为拥有文件的用户可以随意更改其权限以授予自己写访问权限。
| 归档时间: |
|
| 查看次数: |
64 次 |
| 最近记录: |