Безопасно ли давать права апачу на весь сайт?

bork75

The Team
Регистрация
21 Июн 2008
Сообщения
1.455
Реакции
734
При установке многих cms нужно на определённые папки ставить права 777.
Один мой товарищ, что бы не ставить права делает так chown -R apache:apache sait.ru, говорит, что это безопаснее чем давать папке права 777.
Так ли это и есть ли какие-то недостатки если использовать апач?
 
если возиться с владельцами, то я бы сделал
1. chown -R apache:apache sait.ru
2. инстал цмс
3. chown -R root:apache sait.ru можно еще именно на папку sait.ru(без вложенных папок) поставить права 750 - руту все, апачу читать, а остальным там делать нечего.
4. на папки для записи права 770 - т.е. разрешить запись руту и апачу или именно на эти папки владельца апач.

если заливка сайта происходит через фтп, то "рута" заменить на фтп пользователя
апача ставить владельцем всего домена не стоит, т.к. при малейшей дыре или ошибке весь сайт будет доступен на запись.
а потом будут вопли, помогите вычистить "вирус" из N-сотен файлов цмс-ки...
 
присваивать файлы пользователю под которым запущен apache безопастнее чем давать файлам 666 и папкам 777 в том случае если взлом сервера произойдет через другой сервис - не apache (то есть запущенный от пользователя отличного от того под которым запущен сервер apache), во всех остальных случаях разницы не будет (например если у вас несколько сайтов и один из них подломят, то злоумышленник будет иметь доступ ко всем файлам к которым имеет досутп apache)

как вариант имеет смысл использовать разных пользователей и suPHP для того что бы запускать срипты каждого сайта из под своего пользователя.
 
это конфигурируется в suphp.conf параметрами

; Security options
allow_file_group_writeable=false
allow_file_others_writeable=false
allow_directory_group_writeable=false
allow_directory_others_writeable=false
а вообще в случае ошибок имеет смысл мониторить лог
tail -fn0 /usr/local/apache/logs/error_log

зы но мы ушли в строну от вопроса ТС
 
Всем спасибо, разобрался.
Оказывается, хостер с которым я долго работал, по умолчанию использовал предустановленный mpm itk,
поэтому на новом сервере немного растерялся с правами.
 
в обще в Shared-hosting системе лучше добиться такой схемы, что бы доступ к каталогу своего сайта имел лишь тот юзер, который им реально владеет в системе, т.е. пользователь хостинг-аккаунта, и от этого пользователя запускается процесс апача.
выполняемые вебсервером скрипты запускаются с правами пользователя-владельца виртуального хоста, а не вебсервера.
т.е. каждому виртуалхосту по своему пользователю. сам работал с DirectAdmin, где Apache с mpm-itk - решает многие вопросы безопасности.
 
Назад
Сверху