какой chmod и owner:group настройки являются лучшими для веб-приложения?
Ваша проблема состоит в том, что, если IIS просто возвращает файлы, ASP.NET никогда не будет получать шанс вмешаться. Я полагаю, что это может быть сделано путем включения аутентификации на основе форм и значительного питания вокруг, но я просто переместил бы файлы вне wwwroot папки.
МЛАДШИЙ
Это - лучшая практика, чтобы сделать, чтобы владелец был независимо от того, что ограниченная учетная запись пользователя используется для загрузки/управления файлов на сервере. Группа часто является учетной записью, под которой работает php, таким образом, в этом случае апач был бы корректен. Другие полномочия ни на что не должны быть установлены, как они. Вы близко к идеальному.
Если у Вас есть ситуация, где несколько учетных записей могут изменять/редактировать файлы, можно создать сценарий крона что chowns dir рекурсивно каждый час или так поддержать корректное владение. Та же техника работает для хранения полномочий корректными также.
Кроме того, можно хотеть изменить umask ограниченной учетной записи пользователя, которая имеет владение, чтобы быть встроенной со схемой разрешения.
-
1Таким образом, это было бы более безопасно для установки владельца на ограниченную учетную запись, например, "testuser" вместо корня? Можно ли объяснить мне, почему это было бы более безопасно?Спасибо! – solsol 10 February 2010 в 10:04
-
2да, you' ll быть более обеспеченной установкой этих владений кому-то другому, чем корень так Вы don' t должны обновить их как корень (или sudo). Создайте веб-мастера на сервере для владения этими файлами. Я обычно даю моему ведущему программисту владения проекта этих файлов и помещаю всех остальных в группу. – Patrick R 10 February 2010 в 16:01
Вы определенно избегаете рискованных действий.
Ваши настройки собираются сохранить Вас от способности создать дополнительные папки в Вас, КАТАЛОГИ должны Вы нуждаться к по требованию через апача.
Я предложил бы, чтобы Вы использовали следующие полномочия:
DIRECTORIES: drwxrwx--- root apache
FILES: -rw-rw---- root apache
Добавьте своих разработчиков к апачской группе так, чтобы банка продолжила писать в эти файлы, должен они регистрироваться на пути ssh или ftp.
У Вас могут быть либеральные полномочия файла, если можно доверять тому, какие пользователи выполняют их. Если Вы - код, твердо затем, можно позволить апачской группе делать больше с полномочиями.
Править: В целом дайте апачу:
rwx if it needs to create folders
rw if it needs to create files
r if everything is static
В конце, к чему это сводится, только дает полномочия, что Вы должны. Сделайте их максимально консервативными и откройте их, поскольку Вы разрабатываете свое приложение, если Вы должны.
Одна небольшая вещь о группах. Вы будете видеть некоторые примеры, которые показывают это (это корректные настройки, также):
DIRECTORIES: drwxrwxrw- root somegroup
FILES: -rw-rw-r-- root somegroup
Эти полномочия требуются, чтобы веб-приложение работало, потому что апачский пользователь не является частью полномочий группы. В этом случае апача считают всеми так, что необходимо установить полномочия позволить всем взаимодействовать с веб-сайтом. Всеми я не имею в виду всех в мире (т.е. анонимный). Я имею в виду всех тот, кто в настоящее время пользователь на Вашем сервере (взгляд в/etc/passwd для получения списка).
-
1Спасибо за парней подсказок. Приложение будет размещено на выделенной машине, таким образом, ни у каких других пользователей не будет учетных записей, но нас для обновления приложения при необходимости. Мы хотим, чтобы сервер был безопасен, также - действительно ли это - хорошая идея дать апачский Доступ для чтения-записи к нашим файлам? Я не специалист по безопасности - далекий от - но это звучит опасным для давания полного контроля Apache над файлом или является мной неправильно? – solsol 10 February 2010 в 10:02
-
2, если Ваше приложение не обновит файлов (текст, изображение, и т.д.) на сервере затем все, которое Вам будет нужно, является доступом для чтения, а не чтением-записью. Если Вы не дадите апачское чтение, то Вы получите 500 ошибок. Если апач не будет создавать папки, не давайте ему rwx. апач – Patrick R 10 February 2010 в 14:48
-
3не стащит файлов на Ваш сервер, если он не будет иметь ftp или ssh или Ваш код, позвольте нам, кто-то загружает файлы. Если Вы не позволяете первые две опции, и Вы кодируете, любой не позволяет, кто-то еще (через апача), чтобы загрузить файлы или выполнить Вас кодирует способом, Вы не запланировали, Вы будете довольно безопасны. Обратите внимание, что я не сказал для создания файлов rwxrwxr-. Я говорил о каталоге, когда я перечислил тот конкретный уровень разрешения. – Patrick R 10 February 2010 в 14:53
-
4спасибо Patrick, у нас будет FTP на сервере (для развертывания новых версий приложения), и пользователи смогут загрузить изображения с нашим приложением. Мы проверяем на тип пантомимы там так, чтобы был в порядке. Таким образом, никто не может получить апачский доступ иначе и загрузить материал? – solsol 18 February 2010 в 13:38