我的服务器是centos 7,带有php 5.4。apache 2.4我的网站位于/var/www。
至于apache只有一个用户读取或写入/var/www,我将所有文件和文件夹的所有者和组设置为apache:
对于文件夹和文件只读:-r------- 1 apache apache 922 Jun 3 2014 connect.php
对于文件需要写:-rw------- 1 apache apache 922 Jun 3 2014 connect.php
也就是说只有600或400对于文件有权限。(*.php 不需要x权限)
至于文件夹权限,只有500或700。
这应该是最佳做法,因为提供许可的广告尽可能少。
有没有安全问题?
答案1
不,这是不是最佳实践。Apache 运行的用户应该不是拥有任何文件或目录。此用户应该拥有仅有的对任何内容具有读取权限,尤其是对可执行文件(如)的权限*.php,除非特殊情况特别需要写入权限(如上传目录)。
原因很简单:如果攻击者能够找到允许他们在 Web 服务器进程中执行自己的代码的漏洞,那么他们就能够写入 Web 服务器可以写入的任何文件。如果 Web 服务器对可执行文件具有写权限,那么这意味着他们可以在用户访问相应 URL 时更改可执行文件以执行攻击者选择的任何事情。即使他们只对不可执行文件(例如*.html)具有写权限,这也使他们能够控制发送给您网站用户的内容,包括向他们发送恶意 javascript 或嵌入内容的能力。
让文件归 Web 服务器用户所有也chmod 400没什么好处,因为拥有文件的用户可以随意更改其权限以赋予自己写权限。