que permissões devo dar a uma pasta no apache quando ela exige permissões de gravação e execução

Navegue suas respostas
2

Estou tentando instalar alguns sistemas de gerenciamento de conteúdo. Mas tenho preocupações de segurança com relação a eles

1) por favor, veja o link a seguir    link seção 2 diz Os diretórios a seguir precisam ser legíveis, graváveis e executáveis para todos:

  • dokeos / main / inc / conf /
  • dokeos / main / upload / users /
  • dokeos / main / default_course_document /
  • dokeos / archive /
  • dokeos / cursos /
  • dokeos / home /

Eu não estou muito feliz com essa ideia de ter diretórios a serem legível, gravável e executável para cada um.

2) link

a seção Direitos nas pastas diz

"Se você não quiser definir o acesso de gravação em todas as pastas, o que é recomendado por razões de segurança, dê ao usuário do servidor web acesso de gravação estas pastas: "

Esta é uma prática recomendada?

3) Também outro LMS (Learning Management System) durante a instalação pediu para dar algumas pastas graváveis e executáveis para cada um aqui está um link link Ao instalá-lo, recebi uma mensagem 

“The directory you specify must be created if it does not already exist

and be writeable by the webserver. On Unix machines issue the command chmod a+rwx content, additionally the path may not contain any symbolic links. chmod a+rwx /var/www/atutor/content”

4) Outro LBC docebolms pediu para dar permissões de gravação em 

files/doceboCore/photo
files/common/users
files/doceboLms/course
files/doceboLms/forum
files/doceboLms/item
files/doceboLms/message
files/doceboLms/project
files/doceboLms/scorm
files/doceboLms/test

Eu verifiquei sua documentação link mas não foi útil.

Não estou nada convencido com a idéia de dar permissões para ler, escrever e executar como estes Sistemas de Gestão de Aprendizagem dizem. Deixe-me saber o que você tem a dizer? Qual é a melhor prática em tais situações?

    
por Registered User 03.02.2011 / 20:55

1 resposta

4

Você está certo em se preocupar, e muitos fornecedores de aplicativos recorrem a dizer que você precisa conceder permissões completas a todos os usuários para evitar problemas. Eles fazem isso para minimizar as chamadas de suporte, em vez de maximizar a segurança.

Faz sentido que a conta do servidor da Web precise de acesso de gravação a determinados diretórios para armazenar uploads ou arquivos gerados. E o acesso de execução nos diretórios é necessário no Unix para que o conteúdo do diretório seja enumerado por um usuário, de modo que também será necessário.

Por fim, o que você deseja é que a conta de usuário que está executando o processo do servidor Web (provavelmente www-data se você estiver usando um servidor da Web no Ubuntu) possua as pastas em questão e as permissões padrão de 755 (rwxr-xr-x) são suficientes, ou se você estiver em um sistema compartilhado com outros usuários não confiáveis, você deseja 700 (rwx ------).

Então, no seu primeiro exemplo, supondo que esses diretórios já existam, você precisaria fazer isso: 

$ sudo chown -R www-data:www-data dokeos/main/inc/conf/ dokeos/main/upload/users/ dokeos/main/default_course_document/ dokeos/archive/ dokeos/courses/ dokeos/home/
$ sudo chmod 755 dokeos/main/inc/conf/ dokeos/main/upload/users/ dokeos/main/default_course_document/ dokeos/archive/ dokeos/courses/ dokeos/home/

Novamente, se você estiver em um sistema compartilhado, poderá substituir "755" por "700" na segunda linha. Se você souber que www-data não é o usuário que está executando seu servidor da web, substitua esse item pelo valor correto. Você pode executar os mesmos dois comandos nos diretórios do segundo sistema também. Em ambos os casos, o acesso de gravação provavelmente é necessário, mas apenas para o usuário único executando o servidor da Web, não para todos .

Boa sorte.

    
por 03.02.2011 / 22:04

Tags

Por que restringir usuários do Apache de executar scripts? Gerenciamento DNS: rotear mydomain.com para www.mydomain.com usando um balanceador de carga da Amazon