С Наступающим тех у кого наступает и с Новым годом тех на кого наступил!
Суть вопроса: на многих серверах для записи в папку достаточно прав 755.
Общался с админами одной из весьма солидных по украинским меркам хостигов, они утверждают что так безопаснее.
Не могу самостоятельно разобраться.
Сомнения у меня — так все папки доступными на запись становятся.
Объясните "на пальцах" кто в теме.
Спасибо!
755 против 777
#1
31 декабря 2012 в 23:53
#2
4 января 2013 в 02:04
Ещё интересуюсь… 
#3
4 января 2013 в 03:27
С Новым Годом! Замотался…
Сегодня в 05:32
Права владельца читать писать исполнять
Права группы читать писать исполнять
Права всех остальных читать писать исполнять
755 это
Права владельца читать писать исполнять 7
Права группы читать исполнять 5
Права всех остальных читать исполнять 5
Права группы читать писать исполнять
Права всех остальных читать писать исполнять
755 это
Права владельца читать писать исполнять 7
Права группы читать исполнять 5
Права всех остальных читать исполнять 5
#5
4 января 2013 в 12:31
Спасибо!
Права владельца читать писать исполнять...
Только вопрос в следующем:
есть ли разница в уровне безопасности на серверах, настройки которых таковы, что позволяют движку записывать в папки с CHMOD 755 и обычными настройками сервера, где для этого требуются права 777
Олег Васильевич я, попробую ответить на вопрос как я его понял.
Права владельца читать писать исполнять — у файлов движка есть владелец например ххх и он все может делать но он ограничен папками и файлами которыми он владеет, ну то есть он не может ничего попортить у владельца yyy.
Если zzz входит в ту же группу что и ххх то он имеет право читать файлы и исполнять скрипты у которых владелец ххх и эти скрипты не смогут у yyy чтото сделать
То же для всех остальных — читать и исполнять в рамках прав ххх на чтение и исполнение.
Для 777
Права владельца читать писать исполнять — у файлов движка есть владелец например ххх и он все может делать но он ограничен папками и файлами которыми он владеет, ну то есть он не может ничего попортить у владельца yyy.
Если zzz входит в ту же группу что и ххх то он имеет право читать файлы, писать в эти файлы — тоесть изменять их и исполнять скрипты у которых владелец ххх и эти скрипты не смогут у yyy чтото сделать
То же для всех остальных — читать, писать и исполнять в рамках прав ххх на чтение и исполнение.
Из этого видно что если у владельца все открыто то на его сайте могут все попортить но у других владельцев сделать ничего не смогут.
Ну тоесть поставив права 777 вы позволяете в рамках прав владельца делать с файлами и папками всем и все.
Права владельца читать писать исполнять — у файлов движка есть владелец например ххх и он все может делать но он ограничен папками и файлами которыми он владеет, ну то есть он не может ничего попортить у владельца yyy.
Если zzz входит в ту же группу что и ххх то он имеет право читать файлы и исполнять скрипты у которых владелец ххх и эти скрипты не смогут у yyy чтото сделать
То же для всех остальных — читать и исполнять в рамках прав ххх на чтение и исполнение.
Для 777
Права владельца читать писать исполнять — у файлов движка есть владелец например ххх и он все может делать но он ограничен папками и файлами которыми он владеет, ну то есть он не может ничего попортить у владельца yyy.
Если zzz входит в ту же группу что и ххх то он имеет право читать файлы, писать в эти файлы — тоесть изменять их и исполнять скрипты у которых владелец ххх и эти скрипты не смогут у yyy чтото сделать
То же для всех остальных — читать, писать и исполнять в рамках прав ххх на чтение и исполнение.
Из этого видно что если у владельца все открыто то на его сайте могут все попортить но у других владельцев сделать ничего не смогут.
Ну тоесть поставив права 777 вы позволяете в рамках прав владельца делать с файлами и папками всем и все.
#7
4 января 2013 в 14:45
Спасибо, что отзываетесь.
Олег Васильевич я, попробую ответить на вопрос как я его понял.
Попробую переформулировать вопрос:
для нормальной работы движка на папки
/cache
/images
/upload
должны быть установлены права для записи.
На большинстве серверов, для этого нужно выставить для них CHOD 777
Но есть немало серверов, где этих папок достаточно CHOD 755
Вопрос в следующем: какие настройки сервера безопаснее?
Спасибо!
p.s. надеюсь не достал ещё.)))
это зависит от того какой сервер apache установленНа большинстве серверов, для этого нужно выставить для них CHOD 777
Но есть немало серверов, где этих папок достаточно CHOD 755
prefwork, worker — 777
apache-mpm-itk — 755 достаточно так как в нем все от владельца исполняется
вобщем у хостера нужно узнавать что установлено и права соответственно ставить
#9
4 января 2013 в 14:59
тогда спрошу так: какой из этих серверов безопаснее: prefwork или apache-mpm-itk?
это зависит от того какой сервер apache установленНа большинстве серверов, для этого нужно выставить для них CHOD 777
Но есть немало серверов, где этих папок достаточно CHOD 755
prefwork, worker — 777
apache-mpm-itk — 755 достаточно так как в нем все от владельца исполняется
вобщем у хостера нужно узнавать что установлено и права соответственно ставить
Если безопаснее вообще?
apache-mpm-itk
так как ошибок в правах допустить труднее
так как ошибок в правах допустить труднее
#11
4 января 2013 в 18:40
О! Спасибо!!!
apache-mpm-itk
так как ошибок в правах допустить труднее
#12
4 января 2013 в 20:17
тогда спрошу так: какой из этих серверов безопаснее: prefwork или apache-mpm-itk?
Если безопаснее вообще?
Проще говоря можете сделать то же самое и с apache2-prefork, только все поддомены основного домена разбросать по разным пользователям. Паролей кучу надо помнить, элементарно для базы, для хоста. Если я правильно понимаю. В первом случае скачивать файлы можно мимо движка, закачивать нет. Во втором случае только через двиг скачивать.Чем же отличается apache-prefork от mpm-itk. Когда используется apache2-prefork, все скрипты пользователя запускаются из под www-data, когда же mpm-itk то для каждого виртуального хоста создается свой пользователь, что намного безопаснее.