é seguro chmod 775/664 com o proprietário www-data: www-data?

4

Para facilitar o trabalho com meu servidor da Web, estou propondo algo como o seguinte:

sudo chown www-data:www-data /var/www -R
cd /var/www
sudo find . -type f -exec chmod 664 {} \;
sudo find . -type d -exec chmod 775 {} \;

Eu também adiciono meu usuário ao dia-a-dia ao grupo www-data.

A minha pergunta é: isto é um conjunto de permissões tolo / arriscado? Está dando ao www-data group essas permissões abrindo meu servidor?

Obrigado Alex

    
por Alex Hadley 19.09.2011 / 15:02

5 respostas

5

Geralmente, você só quer ter pastas de upload ou arquivos autogerados para serem graváveis pelo usuário www-data .

De qualquer forma, o risco que você está abrindo aqui é que se seu aplicativo da web tiver algum bug / vulnerabilidade que possa permitir que um invasor execute código em seu servidor, esse código será executado como www-data (o usuário está executando o processo apache) ) e pode excluir completamente todos os seus sites.

    
por 19.09.2011 / 15:11
0

Parece arriscado, supondo que www-data seja o usuário exposto ao servidor web - você está essencialmente perdendo a proteção contra gravação proporcionada pela ACL. A segunda opção (775) também aumentará o risco de um invasor poder executar código remotamente em sua máquina.

    
por 19.09.2011 / 15:07
0

Em si, não, se o seu servidor da web não estiver configurado para atender às solicitações do POST e a essas coisas. No entanto, se ocorrer algum erro no servidor da web ou em seus scripts de cliente que permita gravar no sistema de arquivos (e, com o número de scripts PHP em volta, a probabilidade de isso acontecer é 1), todo o seu conteúdo se tornará gravável. Então: é arriscado e você deve considerar outras alternativas.

    
por 19.09.2011 / 15:11
0

Você não deve permitir o acesso de usuários comuns a este diretório. Se um usuário não precisar escrever ou executar a partir desse diretório, ele não poderá fazer isso. No mínimo, eu limitaria as permissões para 755. Somente root (ou um usuário com acesso root) e www-data devem poder gravar neste diretório.

    
por 19.09.2011 / 15:25
0

Não é uma boa idéia ter permissões de gravação na pasta inteira, a maioria dos sites (por exemplo: wordpress, joomla e magento) precisa de permissão de gravação em pastas específicas (upload de imagem, upload de arquivo) A melhor maneira é dar permissão de escrita nas pastas e não permitir a execução de script (PHP, python), sempre verificar se o usuário está fazendo o upload do conteúdo correto, por exemplo, se você permitir que um usuário envie uma imagem como avatar, verifique se é uma imagem e não uma imagem falsa com script PHP dentro. E o problema de ter permissões de gravação na raiz do site é que, se alguém encontrar uma vulnerabilidade, ele poderá usá-la para escrever um novo arquivo index.php e "hackear" seu site.

    
por 19.09.2011 / 22:36