我是否正确地认为公共 Web 服务器上文件和目录最安全(但实用)的权限是:
文件 - 644
- 用户 - rw(可以查看和编辑,但文件不是可执行文件)
- group/world-只读(不需要编辑或执行)
目录 - 755
- 用户 - rwx(进入目录是‘执行’语句)
- group/world - rx(查看目录列表并进入目录但不向其中写入文件)
这样对吗?谢谢。
答案1
644(u=rw,go=r)和755(u=rwx,go=rx)肯定是不是网络服务器最安全的权限!
考虑一下“需要知道”的原则。例如:
- 每个用户都需要阅读所有文件吗?
- 每个用户都需要列出所有目录吗?
如果您的 Web 服务器以 uid 运行webserver,为什么不授予所有文件的读取权限并仅授予所有目录的执行权限webserver?然后,您必须决定谁(如果有的话)将被允许更新/创建/删除任何文件。
此外,如果系统支持 ACL(setfacl,getfacl),请考虑使用它们。即:将权限分配给个人用户,而不是群组或世界。