Кто-то может объяснить немного о полномочиях папки Unix и безопасности?
Во-первых, Вы проверяли, что snmpd работает правильно?
Netstat или lsof-i udp:161 могут сказать Вам. Также взгляните к журналам ;)
от человека snmpd.conf:
КОНТЕКСТ ГРУППЫ доступа {any|v1|v2c|usm} УРОВЕНЬ ЗАПИСЬ ЧТЕНИЯ PREFX УВЕДОМЛЯЕТ
Вы, кажется, пропускаете поле. В моей собственной конфигурации я установил "" как третье поле ни для какого конкретного контекста.
Можно затем попробовать это:
доступ Nagios "" любой noauth точный все ни один ни один
Каждый файл или папка имеют пользовательского владельца и владельца группы. Выполнение ls-l на файле покажет, кто текущие владельцы. "Владелец" является некоторым пользователем от/etc/passwd, группа является некоторой группой от/etc/groups, и другой представляет все остальное.
Эти три цифры в числе разрешения представляют полномочия для пользователя, группы и "другого".
Так 755 средств:
user=7
group=5
other=5
Файл мог прочитать полномочия, пишет полномочия и выполняет полномочия.
Read=4 Write=2 execute=1
Они - essentely, на что они походят, читайте, позволяет Вам читать содержание файла, запись позволяет Вам редактировать файл. Выполнитесь необходим для запущения скриптов, и в случае папок предоставляют доступ в них.
Путем добавления их Вы получаете число разрешения. В случае 755:
User: read(4)+write(2)+execute(1)= 7
Group: read(4)+execute(1)=5
Other: read(4)+execute(1)=5
Необходимо дать 755 на папке, потому что интернет-пользователь, приезжающий в сайт, попадет в "другую" категорию и для доступа к папке на сервере (и любые сценарии в той папке), они должны смочь войти в ту папку, таким образом, им нужно выполнить разрешение.
777 обычно не хорошая идея вообще, думайте о ней этот путь.. Вы хотели бы какого-либо другого пользователя способность отредактировать что-то на Вашем сервере?
Существует намного больше, чтобы узнать о полномочиях, проверить эту ссылку для большего количества информации.
Что касается кражи PHP кодируют Ваш веб-сервер, должен автоматически служить любому файлу с дескриптором .php как Сценарий PHP и не отобразить PHP пользователю. Однако при именовании сценария чем-нибудь, что не обрабатывается веб-сервером затем, он будет отображен как текст, если у пользователя веб-серверов будет разрешение считать его.
Если Вы говорите о внутренних пользователях, крадущих код через терминал затем, можно удалить полномочия чтения любому кроме веб-сервера.
755 является восьмеричным для 111-101-101 в двоичном файле, что означает...
User | Group | Others
==========================
Read | Red | Read
Write | - | -
Execute | Execute | Execute
Таким образом, только пользователь может write в этот файл. 777 позволяет пользователю, группе и другим писать в этот файл, который обычно слишком неограничен.
Конечно - если они могут считать его, затем они могут "видеть его".
Существует несколько способов, которыми приложения защищают свой код. Это все специализировано, и любой подробно, что обработка должна быть отнесена к кодерам приложения.
- Полномочия файловой системы
Легко просто сказать, что "никто не видит эти файлы". Однако Вам будет нужен, по крайней мере, Ваш веб-сервер, чтобы смочь считать файлы и, ну, в общем, служить им. php может быть выполнен веб-сервером, таким образом, ему будет нужно разрешение 7. Принятие Вас зарегистрировано как пользователь, под которым работает веб-сервер, Вы получаете 7 из 755.
Другие люди должны смочь определить, какой файл, который они хотят, таким образом, они должны смочь видеть их. Они также (в зависимости от приложения), возможно, должны были бы смочь считать файл, таким образом, веб-сервер может обработать его.
- Защита уровня кода
Код PHP может быть просмотрен в нескольких методах. В старые школьные дни необходимо было поместить умирание () команда где-нибудь на странице, поэтому если бы люди добирались до него splunking скорее затем, поскольку они не должны быть никакими непослушными битами, был бы отображен.
Или путем встраивания этого в код, путем установки веб-сервера, чтобы сделать это, или путем выполнения обоих можно не спускать нежелательных глаз.
- Защита прикладного уровня
Любой код может быть поставлен под угрозу, таким образом не пустив плохих пользователей и сохранив хороших пользователей в места, которыми они должны быть, очень важно.
Существует несколько интересных комбинаций разрешения:
/tmpобычно режим 1777 - все могут создать файлы там, но "липкий бит" означает, что только владельцу файла разрешают удалить его.- Некоторые люди сохраняют
incomingкаталог в их корневом каталоге, чтобы другие люди отбросили файлы в. Такой каталог обычно получал бы режим 733, таким образом, все могут войти в каталог и создать новые файлы там, но не узнать, какие файлы существуют. - Если у Вас есть a
public_htmlкаталог с пользовательской домашней страницей, но не хотят, чтобы другие люди посмотрели на Ваш корневой каталог, затем Вы использовали бы 711, чтобы позволить всем входить в каталог и ссылочные файлы оттуда, но не перечислить содержание каталога или добавить файлы (обратите внимание, что, если Вы знаете название файла и у Вас есть разрешение получить доступ к нему, затем можно сделать так).