7

我正在编写 Web 应用程序。它有:

  • 索引.php
  • /app - 当然,使用 .htaccess 但我不是在谈论它
  • /app/session - 对于会话,我的服务器上必须使用 session_save_path(/app/session)
  • /app/include - index.php 包含此目录中的文件
  • /app/config - 仅 .xml 文件,该文件从包含的脚本中读取类
  • /图像,/样式等。

我的问题是:
上述目录的正确 chmod 设置是什么?我知道什么是 chmod(我在 Linux 上工作)并且我知道如何更改它,但我找不到有用的信息。只有诸如“我如何将 chmod 更改为 777...

而且我不知道谁是所有者,组和其他人。我的页面将在共享网络服务器上,所以我认为所有者是 apache,组是 www-data,对吗?

请告诉我 chmod 必须有哪些目录(和文件?我使用 -R 将 chmod 用于文件)以确保网站安全。主要是涉及到任何脚本入侵的可能性。

4

2 回答 2

20

Wordpress 有一篇很好的文章解释了 unix 文件权限。阅读它,您将掌握它的基础知识。简而言之(理论上不正确):

Unix 系统指定了 3 个不同的“角色”:用户、组和世界。尤其是“世界”似乎让人们感到困惑。

每个文件和目录(它们都是节点,因此在 Linux 系统中没有什么不同)被分配给一个用户和一个组。您可以将用户和组视为特定文件/目录的“所有者”(我将进一步讨论“节点”,因为它并不重要)。文件权限定义了谁可以对节点做什么。给出的例子:

文件 index.php 分配给用户“aso”和组“www-data”,文件权限方式为 644。这意味着用户 (6) 具有读写权限,组只有读取权限 (4),和“世界”一样(三位数字的最后 4 位)。

现在首先您必须了解 *nix 系统上的每个用户都是一个组的一部分。组名有时与用户名相同,但组是另一个实体。因此,您可能有一个用户以及一个名为“aso”的组。

文件权限是从“位掩码”构建的,如下所示:读取权限由数字 4 指定,写入权限由 2 指定,执行权限由 1 指定。可以由此进行任何组合。在示例中,写入和执行权限被指定为 3(​​写入 = 2,执行 = 1),读取和执行权限被指定为 5(读取 = 4,执行 = 1)。

让我们看看这意味着什么,我必须公平地说我在这件事上不能完全。如果你想要一个完整的故事,请使用谷歌。

如果我在我的 *nix 系统上创建一个文件,它会自动分配给我(我的用户)和我的用户所属的组。拥有权限 644 这意味着我(以我自己的用户登录)可以读取文件并可以更改(写入)它。但我没有执行 (x) 权限。但这并不重要,因为这只适用于可执行脚本(shell 脚本,大多数情况下带有 .sh 扩展名)。文件所属的组('www-data')只有读取权限,所以不能更改文件。“世界”也只有读取权限。

请注意,一个用户可以是多个组的一部分,因此 *nix 文件权限的范围有限:您可能希望将写入权限分配给组 1,而仅将读取权限分配给组 2。在传统文件系统中,这不是可能的。然而,像 reiserFS 和 Ext3 这样的文件系统可能会使用扩展的 ACL 来完成类似的事情。然而,那是另一回事了。

这一切意味着什么?只要您了解分配的权限的含义以及文件节点和目录节点之间的区别,它实际上比预期的要容易。

文件

  • 阅读:能够阅读其内容
  • 写入:能够更改(写入和删除)其内容
  • 执行:执行文件的能力(执行脚本,可能产生所有后果)

目录

  • 阅读:阅读内容的能力。这意味着:列出节点名称,但不列出节点内容、类型等。
  • 写入:能够添加/删除文件
  • 执行:能够列出它的内容,包括类型、最后修改日期等。

回到你的情况。如果你有一个正常的设置(一个运行 Apache 和 PHP 作为一个模块的 Linux 服务器),你的文件将被分配给你的 ftp 用户和组“www-data”(运行 Apache 的组)。您自己需要读取和写入权限(有时您想更改文件),但不需要执行权限(因为 PHP - 或 HTML 不是可执行文件)。所以对于用户来说,你需要一个 6(读取 = 4,写入 = 2,组合为 6)。对于组用户,您只需要读取权限,因为 Apache(或 PHP 模块)只需要读取您的 php 脚本的内容。系统上的任何其他用户都与您的文件无关,因此不需要所有权限(0)。

因此,对于您的所有脚本,640 的权限(用户可读写,组可读取,“世界”则无权限)就足够了。

对于您的用户需要所有权限的目录(读取 = 4、写入 = 2、执行 = 1、总共 7 个)。为什么?因为它需要读取它的内容(节点名称),必须能够确定它是文件还是目录节点(和其他属性)并且必须能够添加和删除文件(有时你想添加文件,不要'你呢?)。所以我们会给你的用户一个 7。

然而,该组('www-data',Apache 正在运行的组)只需要读取和执行权限。列出内容(节点名称)的读取权限和列出其他属性(节点类型、修改时间等)的执行权限。但它不需要写权限,因为通常您不希望 PHP (Apache) 从应用程序树中添加/删除文件。

最后,“世界”,即系统上的所有其他用户(与最广泛意义上的世界不同)不需要任何权限。为什么服务器上的其他人需要访问您的文件?

结合起来将产生 750(用户的所有权限,组的读取和执行权限,其他人没有权限)。

总结您的问题的答案,最低限度是:

  • 文件权限:640
  • 目录权限:750

但总是很好,相当标准且足够安全:

  • 文件权限:644
  • 目录权限:755
于 2013-08-27T20:30:32.243 回答
1

640在我的服务器上使用。这些文件归我所有,所以我需要读写。组是 www-data,因此 apache 可以读取。PHP脚本不需要执行即可运行(如果使用默认的apache php模块。我认为使用cgi时需要执行),只需阅读。没有其他人需要访问。我有一个上传文件夹,可以让 apache 写入,但只有一个文件夹,我通常拒绝使用 .htaccess 访问,禁用 php 以防止脚本上传或将其放在 webroot 之外;根据项目的需要。

于 2013-08-27T18:55:22.543 回答