ලිනක්ස් වෙබ් සේවාදායකයක මගේ වෙබ් අඩවි ගොනු / ෆෝල්ඩර තිබිය යුතු අවසර මොනවාද?

මෙය ලිනක්ස් වෙබ් සේවාදායකයක ගොනු අවසරයන් පිළිබඳ කැනොනිකල් ප්‍රශ්නයකි .

මට වෙබ් අඩවි කිහිපයක් සත්කාරකත්වය සපයන Apache2 ධාවනය වන ලිනක්ස් වෙබ් සේවාදායකයක් ඇත. සෑම වෙබ් අඩවියකටම / var / www / හි ෆෝල්ඩරයක් ඇත.

/var/www/contoso.com/
/var/www/contoso.net/
/var/www/fabrikam.com/

මූලික නාමාවලිය / var / www / අයිති root: root. අපාචේ www-data: www-data ලෙස ක්‍රියාත්මක වේ. ෆැබ්රිකම් වෙබ් අඩවිය නඩත්තු කරන්නේ සංවර්ධකයින් දෙදෙනෙකු වන ඇලිස් සහ බොබ් විසිනි. කොන්ටොසෝ වෙබ් අඩවි දෙකම නඩත්තු කරන්නේ එක් සංවර්ධකයෙකු වන ඒව විසිනි. සියලුම වෙබ් අඩවි පරිශීලකයින්ට පින්තූර උඩුගත කිරීමට ඉඩ දෙයි. වෙබ් අඩවියක් සම්මුතියකට ලක් වුවහොත්, බලපෑම හැකි තරම් සීමිත විය යුතුය.

අපාචේට අන්තර්ගතයට සේවය කළ හැකි වන පරිදි, වෙබ් අඩවි ප්‍රහාර වලින් ආරක්ෂා වන අතර, සංවර්ධකයින්ට තවමත් වෙනස්කම් කළ හැකි වන පරිදි අවසරයන් සැකසීමට හොඳම ක්‍රමය දැන ගැනීමට මට අවශ්‍යය. එක් වෙබ් අඩවියක් මේ ආකාරයට ව්‍යුහගත කර ඇත:

/var/www/fabrikam.com
    /cache
    /modules
    /styles
    /uploads
    /index.php

මෙම නාමාවලි සහ ලිපිගොනු සඳහා අවසර ලබා දිය යුත්තේ කෙසේද? වෙබ් අඩවියක ඔබ කිසි විටෙකත් අවසර 777 ක් භාවිතා නොකළ යුතු බව මම කොතැනක හෝ කියවා ඇත්තෙමි, නමුත් ඇතිවිය හැකි ගැටළු මොනවාදැයි මට නොතේරේ. කාර්යබහුල කාලවලදී, වෙබ් අඩවිය ස්වයංක්‍රීයව සමහර පිටු හැඹිලිගත කර ප්‍රති results ල හැඹිලි ෆෝල්ඩරයේ ගබඩා කරයි. වෙබ් අඩවි නරඹන්නන් විසින් ඉදිරිපත් කරන ලද සියලුම අන්තර්ගතයන් උඩුගත කිරීමේ ෆෝල්ඩරයට සුරකිනු ඇත.

භාවිතා කිරීමට කුමන අවසරයන්ද යන්න තීරණය කිරීමේදී, ඔබේ පරිශීලකයින් කවුරුන්ද සහ ඔවුන්ට අවශ්‍ය දේ හරියටම දැනගත යුතුය. වෙබ් සේවාදායකයක් භාවිතා කරන්නන් වර්ග දෙකක් සමඟ අන්තර් ක්‍රියා කරයි.

සත්‍යාපනය කළ පරිශීලකයින්ට සේවාදායකයේ පරිශීලක ගිණුමක් ඇති අතර ඔවුන්ට විශේෂ වරප්‍රසාද ලබා දිය හැකිය. මෙයට සාමාන්‍යයෙන් පද්ධති පරිපාලකයින්, සංවර්ධකයින් සහ සේවා ගිණුම් ඇතුළත් වේ. ඔවුන් සාමාන්‍යයෙන් SSH හෝ SFTP භාවිතා කරමින් පද්ධතියේ වෙනස්කම් සිදු කරයි.

නිර්නාමික පරිශීලකයින් යනු ඔබේ වෙබ් අඩවියට පැමිණෙන අමුත්තන් ය. කෙලින්ම ලිපිගොනු වෙත ප්‍රවේශ වීමට ඔවුන්ට අවසර නොමැති වුවද, ඔවුන්ට වෙබ් පිටුවක් ඉල්ලා සිටිය හැකි අතර වෙබ් සේවාදායකයා ඔවුන් වෙනුවෙන් ක්‍රියා කරයි. වෙබ් සේවාදායක ක්‍රියාවලියට ඇති අවසරයන් පිළිබඳව ප්‍රවේශම් වීමෙන් ඔබට නිර්නාමික පරිශීලකයින්ගේ ප්‍රවේශය සීමා කළ හැකිය. බොහෝ ලිනක්ස් බෙදාහැරීම් වලදී, Apache www-dataපරිශීලකයා ලෙස ක්‍රියාත්මක වන නමුත් එය වෙනස් විය හැකිය. භාවිතය ps aux | grep httpdහෝ ps aux | grep apacheApache ඔබේ පද්ධතිය මත භාවිත දේ පරිශීලක බලන්න.

ලිනක්ස් අවසරයන් පිළිබඳ සටහන්

ලිනක්ස් සහ අනෙකුත් පොසික්ස් අනුකූල පද්ධති සාම්ප්‍රදායික යුනික්ස් අවසර භාවිතා කරයි. ලිපිගොනු පද්ධති අවසරයන් පිළිබඳව විකිපීඩියාවේ විශිෂ්ට ලිපියක් ඇත, එබැවින් මම මෙහි සියල්ල නැවත නොකරමි. නමුත් ඔබ දැනුවත් විය යුතු කරුණු කිහිපයක් තිබේ.

ක්‍රියාත්මක කිරීමේ බිට්
පරිවර්ථන ස්ක්‍රිප්ට් (උදා: රූබි, පීඑච්පී) ක්‍රියාත්මක කිරීමේ අවසරයකින් තොරව හොඳින් ක්‍රියා කරයි. ක්‍රියාත්මක කිරීමේ බිට් අවශ්‍ය වන්නේ ද්විමය හා ෂෙල් ස්ක්‍රිප්ට පමණි. ඩිරෙක්ටරියක් හරහා ගමන් කිරීමට (ඇතුළත් කිරීමට), ඔබට එම නාමාවලියෙහි ක්‍රියාත්මක කිරීමේ අවසරය තිබිය යුතුය. ඩිරෙක්ටරියක් ලැයිස්තුගත කිරීමට හෝ එහි ඇති ඕනෑම ලිපිගොනු සේවය කිරීමට වෙබ් සේවාදායකයාට මෙම අවසරය අවශ්‍ය වේ.

සුපුරුදු නව ගොනු අවසරයන්
ගොනුවක් සාදන විට, එය සාමාන්‍යයෙන් එය නිර්මාණය කළ අයගේ කණ්ඩායම් හැඳුනුම්පත උරුම කර ගනී. නමුත් සමහර විට ඔබට නව ලිපිගොනු නිර්මාණය කර ඇති ෆෝල්ඩරයේ කණ්ඩායම් හැඳුනුම්පත උරුම කර ගැනීමට අවශ්‍ය වේ, එබැවින් ඔබ මව් ෆෝල්ඩරයේ SGID බිට් සක්‍රීය කරනු ඇත.

පෙරනිමි අවසර අගයන් ඔබගේ උමාස්ක් මත රඳා පවතී. උමාස්ක් විසින් අලුතින් සාදන ලද ලිපිගොනු වලින් අවසරයන් අඩු කරයි, එබැවින් 022 හි පොදු අගය 755 සමඟ ගොනු නිර්මාණය වේ. කණ්ඩායමක් සමඟ සහයෝගයෙන් කටයුතු කරන විට, ඔබේ umask 002 ලෙස වෙනස් කිරීම ප්‍රයෝජනවත් වන අතර එමඟින් ඔබ නිර්මාණය කරන ලිපිගොනු කණ්ඩායම් සාමාජිකයින්ට වෙනස් කළ හැකිය. ඔබට උඩුගත කරන ලද ලිපිගොනු වල අවසරයන් අභිරුචිකරණය කිරීමට අවශ්‍ය නම්, එක්කෝ ඔබ අපාචේ සඳහා උමාස්ක් වෙනස් කිරීම හෝ ගොනුව උඩුගත කිරීමෙන් පසු chmod ධාවනය කිරීම අවශ්‍ය වේ.

777 සමඟ ඇති ගැටළුව

ඔබ chmod 777ඔබේ වෙබ් අඩවිය වන විට, ඔබට කිසිදු ආරක්ෂාවක් නොමැත. පද්ධතියේ ඕනෑම පරිශීලකයෙකුට ඔබේ වෙබ් අඩවියේ ඕනෑම ගොනුවක් වෙනස් කිරීමට හෝ මකා දැමීමට හැකිය. නමුත් වඩාත් බැරෑරුම් ලෙස, ඔබේ වෙබ් අඩවියට පැමිණෙන අමුත්තන් වෙනුවෙන් වෙබ් සේවාදායකය ක්‍රියා කරන බව මතක තබා ගන්න, දැන් එය ක්‍රියාත්මක කරන ලිපිගොනු වෙනස් කිරීමට වෙබ් සේවාදායකයාට හැකි වේ. ඔබේ වෙබ් අඩවියේ කිසියම් ක්‍රමලේඛන අවදානමක් තිබේ නම්, ඒවා ඔබේ වෙබ් අඩවිය අපකීර්තියට පත් කිරීමට, තතුබෑම් ප්‍රහාර ඇතුළු කිරීමට හෝ ඔබ නොදැනුවත්වම ඔබේ සේවාදායකයෙන් තොරතුරු සොරකම් කිරීමට යොදා ගත හැකිය.

මීට අමතරව, ඔබේ සේවාදායකය සුප්‍රසිද්ධ වරායක ධාවනය වන්නේ නම් (එය මූල නොවන පරිශීලකයින්ට ලෝකයට ප්‍රවේශ විය හැකි සවන්දීමේ සේවාවන් ඇතිවීම වැළැක්විය යුතුය), එයින් අදහස් වන්නේ ඔබේ සේවාදායකය root මඟින් ආරම්භ කළ යුතු බවයි (ඕනෑම බුද්ධිමත් සේවාදායකයක් වහාම පහත වැටෙනු ඇත වරාය බැඳී ඇති පසු අඩු වරප්‍රසාදිත ගිණුමකට). වෙනත් වචන වලින් කිවහොත්, ඔබ ප්‍රධාන ක්‍රියාත්මක කළ හැකි අනුවාද පාලනයේ කොටසක් වන වෙබ් සේවාදායකයක් ධාවනය කරන්නේ නම් (උදා: සීජීඅයි යෙදුමක්), එහි අවසරයන් අතහැර දමයි (හෝ, ඒ සඳහා, අඩංගු නාමාවලියෙහි අවසරයන්, පරිශීලකයාට නැවත නම් කළ හැකි බැවින් 777 හි ක්‍රියාත්මක කළ හැකි) ඕනෑම පරිශීලකයෙකුට ඕනෑම ක්‍රියාත්මක කළ හැකි මූලයක් ලෙස ධාවනය කිරීමට ඉඩ දෙයි .

අවශ්‍යතා නිර්වචනය කරන්න

• වෙබ් අඩවි යාවත්කාලීන කිරීමට සංවර්ධකයින්ට ලිපිගොනු කියවීමට / ලිවීමට ප්‍රවේශය අවශ්‍ය වේ
• සංවර්ධකයින්ට නාමාවලි කියවීමට / ලිවීමට / ක්‍රියාත්මක කිරීමට අවශ්‍ය වන අතර එමඟින් ඔවුන්ට ගවේෂණය කළ හැකිය
• අපාචේට ලිපිගොනු සහ අර්ථ නිරූපණය කළ ස්ක්‍රිප්ට් කියවීමට ප්‍රවේශය අවශ්‍ය වේ
• අපාචේට සේවය කළ හැකි නාමාවලි වෙත කියවීම / ක්‍රියාත්මක කිරීම අවශ්‍ය වේ
• අපාචේට උඩුගත කළ අන්තර්ගතයන් සඳහා නාමාවලි වලට කියවීම / ලිවීම / ක්‍රියාත්මක කිරීම අවශ්‍ය වේ

තනි පරිශීලකයෙකු විසින් නඩත්තු කරනු ලැබේ

වෙබ් අඩවිය නඩත්තු කිරීම සඳහා එක් පරිශීලකයෙකු පමණක් වගකිව යුතු නම්, ඒවා වෙබ් අඩවි නාමාවලියෙහි පරිශීලක හිමිකරු ලෙස සකසා පරිශීලකයාට සම්පූර්ණ rwx අවසර ලබා දෙන්න. අපාචේට තවමත් ප්‍රවේශය අවශ්‍ය වන අතර එමඟින් ලිපිගොනු වලට සේවය කළ හැකිය, එබැවින් කණ්ඩායම් හිමිකරු ලෙස www-data සකසා කණ්ඩායමට rx අවසර ලබා දෙන්න.

ඔබගේ නඩුවේදී, eveනඩත්තු කරන එකම පරිශීලකයා වන්නේ ඒවගේ පරිශීලක නාමය විය හැකිය contoso.com:

chown -R eve contoso.com/
chgrp -R www-data contoso.com/
chmod -R 750 contoso.com/
chmod g+s contoso.com/
ls -l
drwxr-s--- 2 eve      www-data   4096 Feb  5 22:52 contoso.com

ඔබට Apache විසින් ලිවිය යුතු ෆෝල්ඩර තිබේ නම්, ඔබට කණ්ඩායම් හිමිකරුගේ අවසර අගයන් වෙනස් කළ හැකිය, එවිට www-data වෙත ලිඛිත ප්‍රවේශයක් ඇත.

chmod g+w uploads
ls -l
drwxrws--- 2 eve      www-data   4096 Feb  5 22:52 uploads

මෙම වින්‍යාසයේ වාසිය නම් ඔබේ වෙබ් අඩවියේ නාමාවලිය පිරික්සීමට හැකි වන්නේ පරිශීලකයාට සහ කණ්ඩායම් හිමිකරුවන්ට පමණක් වන බැවින් පද්ධතියේ අනෙක් පරිශීලකයින්ට සැරිසැරීම දුෂ්කර (නමුත් කළ නොහැකි *) වීමයි. ඔබේ වින්‍යාස ගොනු වල රහස් දත්ත තිබේ නම් මෙය ප්‍රයෝජනවත් වේ. ඔබේ උමාස්ක් ගැන සැලකිලිමත් වන්න! ඔබ මෙහි නව ගොනුවක් සාදන්නේ umask 027නම් , අවසර අගයන් 755 ට පෙරනිමිය හැක. ඔබට ධාවනය කළ හැකි වන පරිදි නව ගොනු පෙරනිමියෙන් 640 ( rw- r-- ---) දක්වා වෙනස් වේ.

පරිශීලකයින් කණ්ඩායමක් විසින් නඩත්තු කරනු ලැබේ

වෙබ් අඩවිය නඩත්තු කිරීම සඳහා එක් පරිශීලකයෙකුට වඩා වගකිව යුතු නම්, අවසර ලබා දීම සඳහා භාවිතා කිරීමට ඔබට කණ්ඩායමක් සෑදිය යුතුය. සෑම වෙබ් අඩවියකටම වෙනම කණ්ඩායමක් නිර්මාණය කිරීම හොඳ පුරුද්දක් වන අතර එම වෙබ් අඩවියෙන් පසුව කණ්ඩායම නම් කරන්න.

groupadd dev-fabrikam
usermod -a -G dev-fabrikam alice
usermod -a -G dev-fabrikam bob

පෙර උදාහරණයේ දී, අපාචේට වරප්‍රසාද ලබා දීමට අපි කණ්ඩායම් හිමිකරු භාවිතා කළෙමු, නමුත් දැන් එය සංවර්ධකයින් කණ්ඩායම සඳහා භාවිතා වේ. පරිශීලක හිමිකරු අපට තවදුරටත් ප්‍රයෝජනවත් නොවන බැවින්, එය මූලයට සැකසීම වරප්‍රසාද කාන්දු නොවන බවට සහතික වීම සඳහා සරල ක්‍රමයකි. අපාචේට තවමත් ප්‍රවේශය අවශ්‍යයි, එබැවින් අපි සෙසු ලෝකයට කියවීමේ ප්‍රවේශය ලබා දෙමු.

chown -R root fabrikam.com
chgrp -R dev-fabrikam fabrikam.com
chmod -R 775 fabrikam.com
chmod g+s fabrikam.com
ls -l
drwxrwxr-x 2 root     dev-fabrikam   4096 Feb  5 22:52 fabrikam.com

ඔබට Apache විසින් ලිවිය යුතු ෆෝල්ඩර තිබේ නම්, ඔබට Apache පරිශීලක හිමිකරු හෝ කණ්ඩායම් හිමිකරු බවට පත් කළ හැකිය. කෙසේ හෝ එයට අවශ්‍ය සියලු ප්‍රවේශයන් ඇත. පුද්ගලිකව, මම එය පරිශීලක හිමිකරු බවට පත් කිරීමට කැමැත්තෙමි, එවිට සංවර්ධකයින්ට තවමත් උඩුගත කළ ෆෝල්ඩරවල අන්තර්ගතය පිරික්සීමට සහ වෙනස් කිරීමට හැකිය.

chown -R www-data uploads
ls -l
drwxrwxr-x 2 www-data     dev-fabrikam   4096 Feb  5 22:52 uploads

මෙය පොදු ප්‍රවේශයක් වුවද අවාසියක් ඇත. පද්ධතියේ අනෙක් සෑම පරිශීලකයෙකුටම ඔබේ වෙබ් අඩවියට අපාචේට සමාන වරප්‍රසාද ඇති බැවින්, අනෙක් පරිශීලකයින්ට ඔබේ වෙබ් අඩවිය පිරික්සීමට සහ ඔබේ වින්‍යාස ගොනු වැනි රහස් දත්ත අඩංගු ගොනු කියවීමට පහසුය.

ඔබේ කේක් එක තබා එයත් කන්න පුළුවන්

මෙය තව දුරටත් වැඩිදියුණු කළ හැකිය. කණ්ඩායමට වඩා අඩු වරප්‍රසාද හිමිකරුට තිබීම නීත්‍යානුකූල ය, එබැවින් පරිශීලක හිමිකරුට එය මූලයට පැවරීමෙන් නාස්ති කරනවා වෙනුවට, ඔබේ වෙබ් අඩවියේ ඇති නාමාවලි සහ ලිපිගොනු වල Apache පරිශීලක හිමිකරු බවට පත් කළ හැකිය. මෙය තනි නඩත්තු තත්වයේ ආපසු හැරවීමකි, නමුත් එය සමානව ක්‍රියා කරයි.

chown -R www-data fabrikam.com
chgrp -R dev-fabrikam fabrikam.com
chmod -R 570 fabrikam.com
chmod g+s fabrikam.com
ls -l
dr-xrwx--- 2 www-data  dev-fabrikam   4096 Feb  5 22:52 fabrikam.com

ඔබට Apache විසින් ලිවිය යුතු ෆෝල්ඩර තිබේ නම්, ඔබට පරිශීලක හිමිකරුගේ අවසර අගයන් වෙනස් කළ හැකිය, එවිට www-data වෙත ලිඛිත ප්‍රවේශයක් ඇත.

chmod u+w uploads
ls -l
drwxrwx--- 2 www-data  dev-fabrikam   4096 Feb  5 22:52 fabrikam.com

මෙම විසඳුම සමඟ ප්‍රවේශම් විය යුතු එක් දෙයක් නම්, නව ලිපිගොනු වල පරිශීලක හිමිකරු www-data ලෙස සැකසීම වෙනුවට නිර්මාණකරුට ගැලපේ. එබැවින් ඔබ සාදන ඕනෑම නව ලිපිගොනු අපාචේට කියවීමට නොහැකි වනු ඇත.

අපාචේ වරප්‍රසාද වෙන් කිරීම

ඔබ කුමන ආකාරයේ වරප්‍රසාද භාවිතා කළත් අනෙක් පරිශීලකයින්ට ඔබේ වෙබ් අඩවිය වටා සැරිසැරීමට හැකි බව මම කලින් සඳහන් කළෙමි. පෙරනිමියෙන්, සියලු Apache ක්‍රියාවලීන් එකම www-data පරිශීලකයෙකු ලෙස ක්‍රියාත්මක වන බැවින් ඕනෑම Apache ක්‍රියාවලියකට එකම සේවාදායකයක වින්‍යාස කර ඇති අනෙකුත් සියලුම වෙබ් අඩවි වලින් ලිපිගොනු කියවිය හැකි අතර සමහර විට වෙනස්කම් සිදු කළ හැකිය. පිටපතක් ධාවනය කිරීම සඳහා Apache ලබා ගත හැකි ඕනෑම පරිශීලකයෙකුට Apache විසින්ම ලබා ගත හැකි ප්‍රවේශය ලබා ගත හැකිය.

මෙම ගැටළුවට එරෙහිව සටන් කිරීම සඳහා, අපාචේ හි වරප්‍රසාද වෙන් කිරීම සඳහා විවිධ ප්‍රවේශයන් ඇත . කෙසේ වෙතත්, සෑම ප්රවේශයක්ම විවිධ කාර්ය සාධනය සහ ආරක්ෂක අඩුපාඩු සමඟ පැමිණේ. මගේ මතය අනුව, ඉහළ සේවාදායක අවශ්‍යතා ඇති ඕනෑම වෙබ් අඩවියක් හවුල් සේවාදායකයක අතථ්‍ය හෝස්ට් භාවිතා කිරීම වෙනුවට විශේෂිත සේවාදායකයක් මත ධාවනය කළ යුතුය.

අමතර සලකා බැලීම්

මම මීට පෙර එය සඳහන් කර නැත, නමුත් සාමාන්‍යයෙන් සංවර්ධකයින් විසින් වෙබ් අඩවිය කෙලින්ම සංස්කරණය කිරීම නරක පුරුද්දකි. විශාල අඩවි සඳහා, අනුවාද පාලන පද්ධතියක අන්තර්ගතයෙන් වෙබ් සේවාදායකය යාවත්කාලීන කරන යම් ආකාරයක මුදා හැරීමේ පද්ධතියක් තිබීම වඩා හොඳය. තනි නඩත්තු කිරීමේ ප්‍රවේශය බොහෝ විට සුදුසු ය, නමුත් පුද්ගලයෙකු වෙනුවට ඔබට ස්වයංක්‍රීය මෘදුකාංග තිබේ.

ඔබේ වෙබ් අඩවිය සේවය සැපයීමට අවශ්‍ය නොවන උඩුගත කිරීම් වලට ඉඩ දෙන්නේ නම්, එම උඩුගත කිරීම් වෙබ් මූලයෙන් පිටත කොතැනක හෝ ගබඩා කළ යුතුය. එසේ නොමැති නම්, මිනිසුන් රහසිගතව අදහස් කරන ලිපිගොනු බාගත කරන බව ඔබට පෙනී යනු ඇත. උදාහරණයක් ලෙස, ඔබ සිසුන්ට පැවරුම් ඉදිරිපත් කිරීමට ඉඩ දෙන්නේ නම්, ඔවුන් අපාචේ විසින් සේවය නොකරන නාමාවලියකට සුරැකිය යුතුය. රහස් අඩංගු වින්‍යාස ගොනු සඳහා මෙය හොඳ ප්‍රවේශයකි.

වඩාත් සංකීර්ණ අවශ්‍යතා ඇති වෙබ් අඩවියක් සඳහා, ඔබට ප්‍රවේශ පාලන ලැයිස්තු භාවිතය පිළිබඳව සොයා බැලීමට අවශ්‍ය විය හැකිය . මෙමඟින් වරප්‍රසාද වඩාත් නවීන ලෙස පාලනය කිරීමට හැකි වේ.

ඔබේ වෙබ් අඩවියට සංකීර්ණ අවශ්‍යතා තිබේ නම්, ඔබට සියලු අවසරයන් සැකසෙන පිටපතක් ලිවීමට අවශ්‍ය විය හැකිය. එය හොඳින් පරීක්ෂා කරන්න, ඉන්පසු එය ආරක්ෂිතව තබා ගන්න. කිසියම් හේතුවක් නිසා ඔබේ වෙබ් අඩවිය නැවත ගොඩනඟා ගැනීමට ඔබට අවශ්‍ය යැයි ඔබ සිතන්නේ නම් එය එහි බර රත්‍රන්වලින් වටී.

අපාචේ (සහ / හෝ PHP) කළ හැකි දේ පාලනය කිරීම සඳහා බොහෝ අය ලිනක්ස් අයිතිවාසිකම්වල "වෙනත්" (ඕ) කොටස භාවිතා කරන්නේ ඇයිදැයි මම කල්පනා කරමි. මෙම දකුණු කොටස "0" ට වඩා වෙනත් දෙයකට සැකසීමෙන්, ඔබ මුළු ලෝකයටම ගොනුව / නාමාවලියෙහි යමක් කිරීමට ඉඩ දෙයි.

මගේ ප්‍රවේශය අනුගමනය කරන්නේ:

• මම වෙන්වූ පරිශීලකයින් දෙදෙනෙකු නිර්මාණය කරමි. SSH / SFTP ප්‍රවේශය සඳහා එකක් (අවශ්‍ය නම්), එය සියලුම ලිපිගොනු සතු වන අතර එකක් PHP FastCGI පරිශීලකයා සඳහා (වෙබ් අඩවිය ක්‍රියාත්මක වන පරිශීලකයා). මෙම පරිශීලකයින් පිළිවෙලින් බොබ් සහ බොබ්-www ලෙස හඳුන්වමු .
• බොබ් පූර්ණ අයිතිය ඇත (ඇත rwx ෆෝල්ඩර, rw- ඔහු / ඇය මුළු වෙබ් අඩවිය කියවා සංස්කරණය කළ හැකි නිසා බව, ගොනු මත).
• PHP FastCGI ක්‍රියාවලියට ෆෝල්ඩර වල rx අයිතිවාසිකම් සහ ලිපිගොනු වල අයිතිවාසිකම් අවශ්‍ය වේ, වැනි විශේෂිත ෆෝල්ඩර හැර cache/හෝ uploads/"ලිවීමේ" අවසරය අවශ්‍ය වේ. PHP FastCGI මෙම හැකියාව ලබා දීමට, එය පාලනය කරනු ඇත බොබ්-www , සහ බොබ්-www ද ස්වංක්රීයව නිර්මිතය එකතු කරනු ඇත බොබ් පිරිසක්.
• සියලුම ඩිරෙක්ටරි සහ ලිපිගොනු වල හිමිකරු සහ කණ්ඩායම බොබ් බොබ් බව අපි දැන් සහතික කරමු .
• යමක් අස්ථානගත වී ඇත: අප පවා FastCGI භාවිතා කරයි, නමුත් අපාචේට තවමත් කියවීමේ ප්‍රවේශය, ස්ථිතික අන්තර්ගතයන් හෝ .htaccess ගොනු අවශ්‍ය වේ. එය AllowOverrideවෙනත් දෙයකට සකසා ඇත්නම් එය කියවීමට උත්සාහ කරයි None. භාවිතා කිරීමෙන් වැළකෙන කිරීමට o අයිතිවාසිකම් කොටසක්, මම එකතු www-දත්ත වෙත පරිශීලක බොබ් පිරිසක්.

දැන්:

• සංවර්ධක කරන්න පුළුවන් දේ පාලනය කිරීමට, අපි එක්ක සෙල්ලම් කරන්න පුළුවන් ඔබ අයිතිවාසිකම් කොටසක් (නමුත් පහත මෙම සටහන්).
• Apache, PHP කරන්න පුළුවන් දේ පාලනය කිරීමට, අපි එක්ක සෙල්ලම් කරන්න පුළුවන් ග්රෑම් අයිතිවාසිකම් කොටසක්.
• මෙම o කොටසක් සෑම විටම 0 කිරීමට පියවර ගෙන තිබේ, එම නිසා සේවාදායකය මත වෙන කවුරුවත් වෙබ් අඩවිය කියවීමට හෝ සංස්කරණය කළ හැක.
• බොබ් පරිශීලකයා නව ලිපිගොනු නිර්මාණය කිරීමේදී කිසිදු ගැටළුවක් නොමැත , මන්ද එය ස්වයංක්‍රීයව එහි ප්‍රධාන කණ්ඩායමට ( බොබ් ) අයත් වේ.

මෙය නැවත සකස් කිරීමකි, නමුත් මෙම තත්වය තුළ, බොබ්ට SSH වෙත අවසර දෙනු ලැබේ. වෙබ් අඩවිය වෙනස් කිරීමට කිසිදු පරිශීලකයෙකුට ඉඩ නොදිය යුතු නම් (උදා: පාරිභෝගිකයා වෙබ් අඩවිය වෙනස් කරන්නේ CMS පරිපාලක පැනලයක් හරහා පමණක් වන අතර ලිනක්ස් දැනුමක් නැත), කෙසේ හෝ පරිශීලකයින් දෙදෙනෙකු නිර්මාණය කරන්න, නමුත් බොබ්/bin/false සඳහා ෂෙල් එකක් ලෙස දෙන්න , සහ එහි පිවිසුම අක්‍රීය කරන්න.

    adduser --home /var/www/bobwebsite --shell /bin/bash bob
    adduser --no-create-home --shell /bin/false --disabled-login --ingroup bob bob-www
    adduser www-data bob
    cd /var/www/bobwebsite
    chown -R bob:bob .
    find -type d -exec chmod 750 {} \;
    find -type f -exec chmod 640 {} \;

සටහන: යූ (අයිතිකරු) අයිතිවාසිකම් සීමා කිරීම බොහෝ විට නිෂ් less ල සහ අනාරක්ෂිත බව මිනිසුන් අමතක කිරීමට නැඹුරු වේ, ගොනුවක හිමිකරුට chmodවිධානය ක්‍රියාත්මක කළ හැකි බැවින් , අයිතිවාසිකම් පවා 000 කි.

මගේ ප්‍රවේශයට ආරක්ෂක ගැටළු කිහිපයක් තිබේදැයි මට කියන්න, මන්ද මට 100% ක් විශ්වාස නැත, නමුත් එය මා භාවිතා කරන්නේ එයයි.

මෙම වින්‍යාසයට ගැටලුවක් ඇතැයි මම සිතමි: PHP / Apache විසින් නව ගොනුවක් නිර්මාණය කරන විට (උදා. උඩුගත කිරීම), එය බොබ්- www: බොබ්ට අයත් වන අතර බොබ්ට එය කියවිය හැක්කේ එය පමණි. සමහර විට නාමාවලියෙහි සැකසීමෙන් ගැටළුව විසඳා ගත හැකිය.

ඉහත විශිෂ් answer පිළිතුර පිළිබඳ ගූගල් ශ්‍රේණිගත කිරීම අනුව, සටහන් කළ යුතු එක් දෙයක් ඇතැයි මම සිතමි. පිළිතුරෙන් පසු සටහනක් තැබිය නොහැක.

උදාහරණය සමඟින්, ඩිරෙක්ටරියේ (හෝ ගොනුවේ) අවසර 570 ක් ඇති www-data හිමිකරු ලෙසත්, dev-fabrikam කණ්ඩායමක් ලෙසත් භාවිතා කිරීමට ඔබ අදහස් කරන්නේ නම්, ලිනක්ස් නොසලකා හරින බව සැලකිල්ලට ගැනීම වැදගත්ය setuid, එබැවින් සියලු නව ලිපිගොනු අයිති වනු ඇත ඒවා නිර්මාණය කළ පරිශීලකයා. මෙයින් අදහස් කරන්නේ නව නාමාවලි සහ ලිපිගොනු නිර්මාණය කිරීමෙන් පසු ඔබට සමාන දෙයක් භාවිතා කිරීමට සිදුවන බවයි:

chown -R www-data /newdirectory/
chmod -R 570 /newdirectory/

රැක්ස්පේස් ඕපන්ස්ටැක් සඳහා උබුන්ටු 12.04 හි, මට සේවාදායකය නැවත ආරම්භ කරන තෙක් 570 වැඩ කිරීමට අවසර ලබා ගැනීමට නොහැකි වූ අමුතු ගැටළුවක් ඇති වූ අතර එය ගැටළුව ඉන්ද්‍රජාලිකව විසඳීය. සරල බව පෙනෙන කාරණයට වඩා වැඩි වේගයකින් හිසකෙස් අහිමි වීම ....

මම මෙම වින්‍යාසය සමඟ යමි:

1. හැර අනෙක් සියලුම නාමාවලි එක් කට්ටලයක් හිමිකරුට rootසහ කණ්ඩායමට උඩුගත කරයි root, අවසර 0755.
2. සියලුම ලිපිගොනු හිමිකරුට rootසහ කණ්ඩායමට සකසා rootඇත 0644.
3. නාමාවලිය හිමිකරුට root, කණ්ඩායමට www-data, අවසර වලට සකසා ඇත 1770. ඇතුළත ඇති නාමාවලිය සහ ලිපිගොනු ඉවත් කිරීමට හෝ නම් කිරීමට කණ්ඩායම් හිමිකරුට ඇලෙන සුළු බිට් ඉඩ නොදේ.
4. ඇතුළත උඩුගත කිරීම් www-dataඅයිතිකරු පරිශීලකයා සහ කණ්ඩායම සමඟ නව නාමාවලියක් ෆෝල්ඩරය සහ ගොනු උඩුගත 0700කරන සෑම www-dataපරිශීලකයෙකුටම අවසර ලබා දේ.
5. Apache වින්‍යාසය:

අපාචේ ලිපිගොනු කියවීම නොකිරීමට AllowOverrideසහ Indexඋඩුගත කිරීමේ නාමාවලිය ප්‍රතික්ෂේප කරන්න .htaccess, සහ අපාචේ පරිශීලකයාට උඩුගත කිරීමේ ෆෝල්ඩරයේ අන්තර්ගතය සුචිගත කළ නොහැක:

<Directory /siteDir>
   Options -Indexes
</Directory>

<Directory /siteDir/uploadDir>
   AllowOverride none
</Directory>

6. php.iniවින්‍යාසය:

open_basedir = /siteDir:/tmp:/usr/share/phpmyadmin
post_max_size = 5M
file_uploads = On
upload_max_filesize = 3M
max_file_uploads = 20

මෙම වින්‍යාසය සමඟ, www-dataපරිශීලකයාට siteDir/ /tmpසහ හැර වෙනත් නාමාවලි තුළට පිවිසිය නොහැක /usr/share/phpmyadmin. එකම ඉල්ලීමකින් උපරිම ගොනු ප්‍රමාණය, උපරිම පෝස්ට් ප්‍රමාණය සහ උඩුගත කළ හැකි උපරිම ගොනු පාලනය කළ හැකිය.

ඔබට "ලියෝ" නමින් FTP පරිශීලකයෙකු සිටින විට example.com වෙබ් නාමාවලියට ලිපිගොනු උඩුගත කළ යුතු අතර ඔබේ "අපාචේ" පරිශීලකයාට හැඹිලි නාමාවලියෙහි උඩු-ගොනු / සැසි / හැඹිලි ගොනු සෑදිය හැකි බව අවශ්‍ය වේ.

මෙම විධානය මඟින් ලියෝව හිමිකරු ලෙසත්, කණ්ඩායම apache ලෙස example.com වෙතත් පැවරේ.

chown -R leo: apache example.com

නිවැරදි අවසරය රක්ෂණය කරන සහ ආරක්ෂක අවශ්‍යතා සපුරාලන තවත් විධානයක්.

chmod -R 2774 example.com

මෙහි පළමු අංක 2 ඩිරෙක්ටරිය සඳහා වන අතර නිර්මාණය කරන ලද සෑම නව ගොනුවක්ම එකම කණ්ඩායමේ සහ හිමිකරුගේ අවසරයන් තුළ රැඳෙනු ඇත. 77 යනු හිමිකරු සහ කණ්ඩායම යන්නෙන් අදහස් කරන්නේ ඔවුන්ට පූර්ණ ප්‍රවේශය ඇති බවයි. 4 යනු අනෙක් අයට අදහස් කරන්නේ ඔවුන්ට කියවිය හැක්කේ අගල පමණි.

අවසර අංක තේරුම් ගැනීමට පහත සඳහන් දෑ ප්‍රයෝජනවත් වේ

Number  Octal Permission Representation
0   No permission
1   Execute permission
2   Write permission
3   Execute and write permission: 1 (execute) + 2 (write) = 3
4   Read permission
5   Read and execute permission: 4 (read) + 1 (execute) = 5
6   Read and write permission: 4 (read) + 2 (write) = 6
7   All permissions: 4 (read) + 2 (write) + 1 (execute) = 7

IMO එකක් සැලකිල්ලට ගත යුතුය:

• ඔබගේ ලිපිගොනු කියවන ක්‍රියාවලියක් ඔබ විශ්වාස කරනවාද? උදා. PHP?

පරිශීලක 'පරීක්ෂණය' යටතේ විවිධ දත්ත ඇති සේවාදායකයක් ඔබ සතුව ඇතැයි උපකල්පනය කරමු.

'පරීක්ෂණ' පරිශීලකයා සතුව ඇත:

• ඔහුගේ දත්ත $HOMEDIR
• ඔහුගේ තැපෑල $MAIL
• වෙබ් සඳහා ඔහුගේ දත්ත /var/www/test

දැන් අපි මේ ගැන සිතා බලමු:

• වෙබ් යෙදුමක් testපරිශීලකයා (PHP-FPM) යටතේ ක්‍රියාත්මක වේ - එයට ඔහුගේ ඕනෑම ලිපිගොනු මකා දැමිය හැකිය!
• වෙබ් යෙදුමක් testකණ්ඩායම (PHP-FPM) යටතේ ක්‍රියාත්මක වේ - කණ්ඩායමට 'w' නාමාවලිය ඇති ඔහුගේ ඕනෑම ලිපිගොනු මකා දැමිය හැකි අතර කණ්ඩායමට 'r' ඇති ඕනෑම ගොනුවක් වෙනස් කළ හැකිය; එය තවමත් ඒවා කියවිය හැකිය - උදාහරණයක් ලෙස ඔබේ ssh යතුරු!

PHP දෝෂ සහිත යැයි උපකල්පනය කරමු, එය ඔබ විශ්වාස open_basedirකරනවාද? ඔබ chrootඔබේ PHP ක්‍රියාවලියද? ඔබට අවශ්‍ය නැති දේ, එය සියලු ගොනු පද්ධතිය හරහා බඩගා යාමට ඔබට අවශ්‍යද?

ඔබගේ වෙබ් යෙදුම් ක්‍රියාවලිය, උදා. PHP-FPM, එසේ නම්:

• හරහා නිශ්චිත මාර්ගයකට සීමා වන්න chroot
• දත්ත හිමිකරුගේ ප්‍රාථමික පරිශීලකයා හෝ ප්‍රාථමික කණ්ඩායම් අවසරය යටතේ ක්‍රියාත්මක නොවිය යුතුය

මේ අනුව ඔබට කළ හැකිය:

• පරීක්ෂණ පරිශීලකයා: test:test
• පරීක්ෂණ පරිශීලකයා ද්විතීයික කණ්ඩායමක සිටී. test-www
• වෙබ් යෙදුමක් (PHP-FPM) යටතේ ක්‍රියාත්මක වේ test-www:test-www
• වෙබ් යෙදුමට ඔහුගේ ලිපිගොනු කියවිය හැකි යැයි පරිශීලකයාට අවශ්‍ය නම් පරීක්ෂා කරන්න: chmod u=rwX,g=rX,o= /var/www/test/public
• වෙබ් යෙදුමට ඔහුගේ වෙබ් දත්ත මාර්ගයට ලිවිය හැකි යැයි පරිශීලකයාට අවශ්‍ය නම් පරීක්ෂා කරන්න: chmod u=rwX,g=rwXs,o= /var/www/test/public/upload (මේ අනුව යෙදුම මඟින් නව ලිපිගොනු නිර්මාණය වනු ඇත: test-www:test-www- ඩිරෙක්ටරියේ setgid නිසා එයට test-www සමූහයක් ඇත!)

මේ අනුව, වෙබ් යෙදුම් ක්‍රියාවලිය ව්‍යාජ එකක් නම්, එය කණ්ඩායම් කියවිය හැකි විශේෂිත ලිපිගොනු පමණක් කියවනු ඇති අතර, එය ලිවීමට හැකි වනුයේ uploaddir ට පමණි. විකල්පයන් uploadසහිත ගොනු පද්ධතියක එම ඩිරර් තබා noexec,nodev,nosuid mountගැනීමටත්, එම නාමාවලියෙහි ඇති ඕනෑම නව බිස්සරේ ලිපිගොනු නිරන්තරයෙන් අධීක්ෂණය කිරීමටත්, යූඩ් යටතේ ඇති ඕනෑම නව ක්‍රියාවලියක් අධීක්ෂණය කිරීමටත් මම තරයේ නිර්දේශ කරමි test-www.

ලිනක්ස් හි කෙනෙකුට ACL භාවිතා කර වඩා හොඳ අවසර ලබා ගත හැකිය. එක් මිනිසෙකුට වඩා වැඩි ගණනක් වෙබ් දත්ත උඩුගත කිරීමට නම්, වෙබ් දත්ත ගොනු උඩුගත කිරීම සඳහා භාවිතා කරන ගිණුමෙන් මානව ගිණුම බෙදීම වඩා හොඳය, එනම්. නව ගිණුමක් නිර්මාණය කිරීමට උදා. test-upload, සහ පරීක්ෂණ පරිශීලකයා විසින් එහි ssh / sftp කළ හැකි දේ සීමා කිරීමට ssh යතුරු කළමනාකරණය කරයි. විකල්පයන් sshd_configදන්නා ExposeAuthInfoබැවින් දත්ත උඩුගත කිරීම සඳහා භාවිතා කළ ssh යතුර ලොග් කිරීමට එය වින්‍යාසගත කළ හැකිය.

බොහෝ වෙබ් හොස්ටිං සේවාවන් වරප්‍රසාද වෙන් කිරීම ගැන සැලකිලිමත් වන බව මට සැකයි, ඔබට ලැබෙන තොරතුරු කිසිදු තොරතුරක් නොමැතිව ඔවුන් 'ආරක්ෂිතයි' යනුවෙන් ලියන විට, මම කියන්නේ ඔවුන් බොරු කියන බවයි.