我正在设置一个 VPS 用作网络服务器。我主要将托管一个 Wordpress 博客,并在官方强化 WordPress指南中,它们对哪些文件夹应具有哪些权限非常讲究。一些关于设置 Web 服务器的指南也(自然而然地)似乎建议使用最严格的权限,同时仍保留功能。
但是,当您是 VPS 上的唯一用户时,文件权限真的很重要吗?如果您以其他方式强化服务器,例如禁用通过 SSH 进行的 root 登录、更改 SSH 端口,甚至禁用基于密码的 SSH 登录,那么使用限制较少的文件权限不是相当安全吗?
答案1
使用限制较少的文件权限不是相当安全吗?
通常,网络上有一点点不安全就等于完全不安全。
常见的在线构建模块,如 Wordpress 网站(以及许多其他网站),几乎不断受到攻击,尽管我并不关心您的网站遭到污损以及可能遭受的任何潜在数据丢失,但如果你的服务器被黑客入侵后,它可能会被变成另一个节点(被出租),成为攻击其他目标的僵尸网络的一部分,这是我所关心的。
总体而言,文件权限并不是你唯一的保护措施,错误的文件系统权限也不大可能是导致你的网站被黑客入侵的原因。更可能的是,错误的文件系统权限为已经入侵的攻击者提供了您的网站获得进攻立足点并获得你的服务器。
从整体上看:总体而言,及时更新补丁(包括针对您的操作系统、Wordpress 部署和您使用的插件)通常相对更为重要。SELinux/AppArmor 可能会保护您,尽管存在过多的文件权限,但如果一件事值得做,那它就值得做好,因此请花点时间以正确的权限设置您的服务器。