apache web root 權限有乜用?

為左提高網站security, 所以幫網站file改permission
我個apache document root係, /var/www/html
而我網站個folder係/var/www/html/mysite


參考依個去做
http://fideloper.com/user-group-permissions-chmod-apache

不過改到最後, 發覺改出黎既permission其實大部份都多餘
首先, 由於webroot同網站入面所有folder同file, owner都係www-data
access網站, 一定係經apache, 即係group同other既permission係完全無作用的

我試過 700 -R /var/www, 成個網站完全正常運作
即係除左用黎防其他linux login user睇file之外, 對security一D幫助都無

由於apache要display你個網站, 即係owner一定係7
而user睇網站, 一定係用apache, 即係所有internet user既permission都係7
如果你個folder入面無index.php, folder入面file就會比人睇晒
甚至如果佢估到你個file, 就可以睇到你file內容
如果個file係php還好, 唔可能睇到source, 但萬一係config file, 例如ini, xml
可能連password都比人睇埋

成日話website 唔好777, 但就算set好左, 好似都無用

apache rewrite rules?

TOP

.htaccess 入面你寫左d 乜?

TOP

或者我地先唔討論rewrite, htaccess等問題

就當個網站係最簡單既學生級網站, 無用任何framework, htaccess

重點就係, linux directory permission對security有乜幫助? 以上測試既結果, 好似係無幫助

TOP

或者我地先唔討論rewrite, htaccess等問題

就當個網站係最簡單既學生級網站, 無用任何framework, htaccess ...
3ldk 發表於 2015-12-15 15:26



owner 可以用 6xx,唔一定要 execute

client 只需要 xx5,點會比佢 write?

+++ apache no show directory
/etc/apache/httpd.conf
Options Includes FollowSymLinks MultiViews Indexes
remove "Indexes"

config file 果類 7x0,估中都冇用

TOP

owner 可以用 6xx,唔一定要 execute

client 只需要 xx5,點會比佢 write?

+++ apache no show direc ...
fatdog 發表於 2015-12-15 16:35


>owner 可以用 6xx,唔一定要 execute
岩岩試左600, 個網站即刻行唔到, 我估要run php係要execute, 所以execute係需要的

>client 只需要 xx5,點會比佢 write?
反而唔明既然0都無問題, 點解要比個5佢? permissioni唔係越少越安全嗎?

>config file 果類 7x0,估中都冇用
我測試過, 用7既話, 係網址直接打個ini file名, 真係睇到內容, 仲睇到mysql密碼

TOP

>owner 可以用 6xx,唔一定要 execute
岩岩試左600, 個網站即刻行唔到, 我估要run php係要execute, 所以e ...
3ldk 發表於 2015-12-16 15:11


我 check 返
大部份 file 包括 config file 都係 644

TOP

> 我測試過, 用7既話, 係網址直接打個ini file名, 真係睇到內容, 仲睇到mysql密碼
呢啲就一定要用 htaccess 或者 rewrite rule.

> 岩岩試左600, 個網站即刻行唔到, 我估要run php係要execute, 所以execute係需要的
PHP 唔駛 execute 㗎喎...
其實係個 php process "read" 個 php file 嚟做嘢

TOP

> 我測試過, 用7既話, 係網址直接打個ini file名, 真係睇到內容, 仲睇到mysql密碼
呢啲就一定要用 htaccess ...
lazyfai 發表於 2015-12-24 00:07


咁其實淨係用htaccess就得
set permission有甚麼用?

TOP

咁其實淨係用htaccess就得
set permission有甚麼用?
3ldk 發表於 2015-12-24 18:30


我"諗"係因為考慮到部server唔係只得一個user...所以先要set permission?

TOP