使用 SuPHP 進行共享託管環境的 public_html 和 public_html 下的文件夾和文件的最少、安全和足夠的權限
我有一個帶有 SuPHP 和 DirectAdmin 的伺服器。我的許多(但不是全部)使用者都在執行 Joomla 和 Wordpress。如果我 chmod public_html 和子文件夾到 700,會不會有問題?他們需要更多權限嗎?
文件呢?對他們來說,最少、最安全和足夠的預設權限應該是什麼?是400嗎?或者可能是600?
換句話說,我的問題集中在組和世界使用者權限上。如果只有使用者需要權限,有什麼問題嗎?我認為通過使用SuPHP,一切都由所有者完成,限制組和世界使用者組不會有任何問題。
我更願意為每個對象(文件、文件夾)提供足以正常工作的最少權限。
這是我的經驗,這取決於配置。
PHP 文件可以設置為 600,以便使用者可以讀取和寫入它們,而 suPHP 應該注意將使用者設置為網站所有者。您可能需要確保已將所有者設置為使用者,因為舊安裝可能具有像 www-data 這樣的所有者。您也可以將它們設置為 400,但可能存在沒有寫入權限的使用者支持問題,並且不會大大提高安全性。
其他文件通常需要 644 之類的權限,因為 Apache 將作為使用者 www-data 讀取它們,而使用者 www-data 不是這些文件的所有者或組。這也適用於 .htaccess 和 phi.ini。因此,作為所有文件的預設值,您可能需要 644。
目錄權限,如果您有一個包含 public_hml 的主目錄,理想的情況是設置 700,但某些配置似乎需要 711 才能使 apache(可能還有其他一些工具)工作。假設,700 應該比 711 更好地保護您 - 使用 711,如果有人可以猜出文件,則世界可以讀取文件,例如設置為 644 的配置(Joomla 推薦的預設值,並且通常由 Web 伺服器應用於新文件)位置 - 這並不難(也許您作為許多 joomla 和 wp 網站的管理員已經學會了)。public_html 和其他目錄類似,可能需要高達 755。但您應該嘗試自己的配置,找到網站載入的最低權限,然後返回並確保您支持或提供給客戶的任何工具(如 CPanel文件管理器)也可以正常工作。如果您可以將主目錄或 public_html 設置為 700,則可以在 configuration.php 上測試跨帳戶的讀取 - 我發現我的 CPanel 帳戶具有 711 主目錄,並且可以跨使用者帳戶讀取 644 configuration.php。我看到一個 CPanel 討論有關符號連結問題的討論,這些問題可以很容易地跨帳戶進行黑客攻擊,因此權限變得非常重要 - 一個站點被黑客攻擊,整個伺服器面臨的風險比應有的風險更大。有人建議將主目錄設置為 700 將阻止讀取該目錄下的任何位置,但這樣做的能力似乎取決於配置。但是主目錄上的 700 可能與您可以提供的聖杯一樣接近,如果它有效(並且這似乎依賴於配置)。您可以在 configuration.php 上測試跨帳戶的讀取 - 我發現我的 CPanel 帳戶具有 711 主目錄,並且可以跨使用者帳戶讀取 644 configuration.php。我看到一個 CPanel 討論有關符號連結問題的討論,這些問題可以很容易地跨帳戶進行黑客攻擊,因此權限變得非常重要 - 一個站點被黑客攻擊,整個伺服器面臨的風險比應有的風險更大。有人建議將主目錄設置為 700 將阻止讀取該目錄下的任何位置,但這樣做的能力似乎取決於配置。但是主目錄上的 700 可能與您可以提供的聖杯一樣接近,如果它有效(並且這似乎依賴於配置)。您可以在 configuration.php 上測試跨帳戶的讀取 - 我發現我的 CPanel 帳戶具有 711 主目錄,並且可以跨使用者帳戶讀取 644 configuration.php。我看到一個 CPanel 討論有關符號連結問題的討論,這些問題可以很容易地跨帳戶進行黑客攻擊,因此權限變得非常重要 - 一個站點被黑客攻擊,整個伺服器面臨的風險比應有的風險更大。有人建議將主目錄設置為 700 將阻止讀取該目錄下的任何位置,但這樣做的能力似乎取決於配置。但是主目錄上的 700 可能與您可以提供的聖杯一樣接近,如果它有效(並且這似乎依賴於配置)。我看到一個 CPanel 討論有關符號連結問題的討論,這些問題可以很容易地跨帳戶進行黑客攻擊,因此權限變得非常重要 - 一個站點被黑客攻擊,整個伺服器面臨的風險比應有的風險更大。有人建議將主目錄設置為 700 將阻止讀取該目錄下的任何位置,但這樣做的能力似乎取決於配置。但是主目錄上的 700 可能與您可以提供的聖杯一樣接近,如果它有效(並且這似乎依賴於配置)。我看到一個 CPanel 討論有關符號連結問題的討論,這些問題可以很容易地跨帳戶進行黑客攻擊,因此權限變得非常重要 - 一個站點被黑客攻擊,整個伺服器面臨的風險比應有的風險更大。有人建議將主目錄設置為 700 將阻止讀取該目錄下的任何位置,但這樣做的能力似乎取決於配置。但是主目錄上的 700 可能與您可以提供的聖杯一樣接近,如果它有效(並且這似乎依賴於配置)。但這樣做的能力似乎取決於配置。但是主目錄上的 700 可能與您可以提供的聖杯一樣接近,如果它有效(並且這似乎依賴於配置)。但這樣做的能力似乎取決於配置。但是主目錄上的 700 可能與您可以提供的聖杯一樣接近,如果它有效(並且這似乎依賴於配置)。
我不是真正的專家,當然不知道您可能會找到的配置範圍 - 但我正在回答,因為我看到這是一個 6 週前的問題,需要一組好的答案。希望您能找到具有更廣泛的伺服器配置專業知識的人來改進這個答案。