Опасности для безопасности свободных полномочий
Для включения использования mod_rewrite в .htaccess файле, необходимо позволить переопределение FileInfo в каталоге, где .htaccess файл расположен.
Если у Вас просто есть "RewriteEngine на" в .htaccess, просто удаляют его, это полностью бесполезно, как это уже находится в vhost конфигурации.
Если необходимо добавить других RewriteCond/RewriteRule в этом .htaccess файле, необходимо добавить директиву AllowOverride FileInfo для/home/.sites/70/site4/web/каталога.
AllowOverride FileInfo
Примечание: Я не исследователь в области безопасности, таким образом, это могло все быть дико неточно.
Для веб-сервера особенно форум / ведет блог / CMS, на котором могут самозарегистрироваться люди, свободные полномочия помогают следующему нападению:
- Злонамеренный пользователь загружает файл сценария / URL ремесел, который включает внешний файл сценария
- Система выполняет содержание сценария
- Злонамеренный пользователь 0wns система
Ограничение полномочий файла может помочь с
- предотвращение (сценарии не выполняются),
- смягчение (может помочь ограничить степень повреждения),
- аудит и очистка (знающий, какой пользователь/группа должен владеть тем, какие файлы позволяют Вам определять то, что было поставлено под угрозу, если вещи неуместны),
Этот сайт может показать Вам полную из проблем и т.д. http://packetstormsecurity.org/
Так беря Ваш пример глобальных 777 разрешений в Вашей системе, вещи, которые могли произойти:
- комната-rf / или/etc/passwd или тень
- пользователи, копирующие другие пользовательские данные и/или изменяющие материал в их домене
- пользователи, использующие Ваш сервер для злонамеренного конца (такие как ddos другие сайты)
- изменение данных passwd или тени
Я предполагаю, что многое много уже указывает, это - просто не, не ДЕЛАЮТ...
Отдел они были просто примерами, существует намного больше вещей, и 777 не единственная вещь, о которой необходимо волноваться существует много способов получить доступ к системе.
Старые приложения, которые знали проблемы безопасности, например.
Худший вариант развития событий использования 777 для полномочий файла на папке или файле - то, что, если так или иначе пользователь может установить файл (или изменить существующий файл) и использовать его для фактического выполнения вредоносного кода, они получили способность к, возможно получают доступ к учетным данным, которые Вы используете для других сервисов на Вашу систему, таких как Ваша база данных. Весь heck вырывается на свободу затем...
См. эту запись в блоге на Полномочиях Файла на веб-серверах для получения дополнительной информации (или просто ищите на Google - довольно мало доказательства того, какие опасности существуют, когда использование свободных полномочий файла доступно).
Часто сервер Apache 'принадлежит' dhapache или никому учетные записи пользователей. Эти учетные записи имеют ограниченную сумму доступа к файлам на сервере на очень серьезном основании. Путем установки персональных файлов и папок, принадлежавших учетной записи пользователя, чтобы быть Мировыми Перезаписываемыми, Вы буквально делаете их Миром Перезаписываемый. Теперь dhapache и никто пользователи, которые выполняют Ваш сервер, служа страницам, выполняя php интерпретаторы, и т.д. будет иметь полный доступ к Вашим файлам учетной записи пользователя.
Это обеспечивает путь для кого-то для получения доступа к файлам путем угона в основном любого процесса на сервере, это также включает любых других пользователей в машину. Таким образом, необходимо думать тщательно об изменении полномочий на машине. Я никогда не сталкивался ни с чем, чему были нужны больше чем 767, поэтому когда Вы видите 777, спрашивают почему его необходимое.