Para facilitar o trabalho com meu servidor da Web, estou propondo algo como o seguinte:
sudo chown www-data:www-data /var/www -R
cd /var/www
sudo find . -type f -exec chmod 664 {} \;
sudo find . -type d -exec chmod 775 {} \;
Eu também adiciono meu usuário ao dia-a-dia ao grupo www-data.
A minha pergunta é: isto é um conjunto de permissões tolo / arriscado? Está dando ao www-data group essas permissões abrindo meu servidor?
Obrigado Alex
Geralmente, você só quer ter pastas de upload ou arquivos autogerados para serem graváveis pelo usuário www-data .
De qualquer forma, o risco que você está abrindo aqui é que se seu aplicativo da web tiver algum bug / vulnerabilidade que possa permitir que um invasor execute código em seu servidor, esse código será executado como www-data (o usuário está executando o processo apache) ) e pode excluir completamente todos os seus sites.
Parece arriscado, supondo que www-data seja o usuário exposto ao servidor web - você está essencialmente perdendo a proteção contra gravação proporcionada pela ACL. A segunda opção (775) também aumentará o risco de um invasor poder executar código remotamente em sua máquina.
Em si, não, se o seu servidor da web não estiver configurado para atender às solicitações do POST e a essas coisas. No entanto, se ocorrer algum erro no servidor da web ou em seus scripts de cliente que permita gravar no sistema de arquivos (e, com o número de scripts PHP em volta, a probabilidade de isso acontecer é 1), todo o seu conteúdo se tornará gravável. Então: é arriscado e você deve considerar outras alternativas.
Você não deve permitir o acesso de usuários comuns a este diretório. Se um usuário não precisar escrever ou executar a partir desse diretório, ele não poderá fazer isso. No mínimo, eu limitaria as permissões para 755. Somente root (ou um usuário com acesso root) e www-data devem poder gravar neste diretório.
Não é uma boa idéia ter permissões de gravação na pasta inteira, a maioria dos sites (por exemplo: wordpress, joomla e magento) precisa de permissão de gravação em pastas específicas (upload de imagem, upload de arquivo) A melhor maneira é dar permissão de escrita nas pastas e não permitir a execução de script (PHP, python), sempre verificar se o usuário está fazendo o upload do conteúdo correto, por exemplo, se você permitir que um usuário envie uma imagem como avatar, verifique se é uma imagem e não uma imagem falsa com script PHP dentro. E o problema de ter permissões de gravação na raiz do site é que, se alguém encontrar uma vulnerabilidade, ele poderá usá-la para escrever um novo arquivo index.php e "hackear" seu site.
Tags permissions chmod chown linux web-server