URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID8
Нить номер: 7937
[ Назад ]

Исходное сообщение
"Установка прав доступа на файлы/каталоги на хостинге и безопасн"

Отправлено rasjpro , 12-Янв-15 07:59 
Насколько влияют установки прав доступа на файлы и каталоги, на хостинге, на безопасность доступа по сети?

Здравствуйте.

Объясню вкратце суть вопроса.
На сайте используется CMS(думаю не суть важно какая, вопрос общего плана). До этого был админ, который всё настравивал. Теперь надо настроить мне.
Заметил странную штуку у многих каталогов и файлов выставлены права доступа 777.
В справке CMS при разрешении вопросов есть такие ответы, что иногда требуется для некторых папок именно такие разрешения временно проставить. Но если временно, значит предполагается их надо вернуть назад потом.

У меня в связи с вышеописанным 2 вопроса:
1. Какие стандартные разрешения для папок и файлов надо прописать на виртуальном хостинге?
Конкретно для каждого типа:
a) .html
b) .php
c) каталоги
d) изображения, файлы, которые могут и должны загружаться с сайта

2. Вообще насколько серьёзно простановка прав доступа для файлов влияет на безопасность их доступа по сети?
Ведь доступ через Интернет к файлам сайта проходит через web-сервер и открытость тех или иных файлов определяется настройками веб-сервера и файлами .htaccess. В таком случае как может повлиять более доступная настройка прав доступа (скажем 777) на доступ к такому файлу/каталогу через Интернет?
Или вобще никак не вляет? Тогда на что может повлиять такая болоее открытая настройка прав доступа для файла/каталога?

Буду очень признателен, если знающие люди помогут мне понять эту тему и ответят на 2 моих вышеозвученных вопроса.



Содержание

Сообщения в этом обсуждении
"Установка прав доступа на файлы/каталоги на хостинге и безопасн"
Отправлено PavelR , 12-Янв-15 08:49 
Вам надо осознать причины того, почему ставят 777.
Обычно происходит от того, что файлы/каталоги сайта имеют владельцем пользователя "А", а скрипты сайта выполняются от другого пользователя "Б". Для того, чтобы "Б" (скрипты) мог сохранить файлы (загружаемые через/на сайт) в каталоге пользователя "А", на каталог и ставят "специальные" права.

С точки зрения безопасности, это означает то, что используя уязвимый скрипт, можно залить на сервер/сайт "другой" скрипт, который будет выполнять то, что требуется злоумышленнику.
Иногда возможна заливка с одного сайта в каталоги другого сайта (если скрипты всех сайтов сервера выполняются от одного общего пользователя "Б").

Идеальная схема работы защищенного сайта /на мой взгляд/ выглядит так:

На каждый сайт выделяется два аккаунта:

- аккаунт выполнения скриптов "Х"    
- аккаунт сайта для работы с файлами "А"

Перечисляются каталоги, в которые движок сайта может писать.
Исполнение скриптов из этих каталогов запрещается.
На каталоги выдается право записи для группы, группа выставляется на ту группу, в которой есть аккаунт Х.

В этой схеме аккаунт одного сайта не сможет записать ни в "запрещенные" каталоги своего сайта, ни в любые каталоги любого другого сайта.


"Установка прав доступа на файлы/каталоги на хостинге и безопасн"
Отправлено Pahanivo , 12-Янв-15 11:51 
а 777 на каталоги хостинга это обычно от дурости и лени.
нафиг разбираться - закатал везде 777 и зашибизь ))



"Установка прав доступа на файлы/каталоги на хостинге и безопасн"
Отправлено rasjpro , 12-Янв-15 12:53 
> а 777 на каталоги хостинга это обычно от дурости и лени.
> нафиг разбираться - закатал везде 777 и зашибизь ))

А какие надо прописать правильно? Ну то есть по умолчанию?
И также на другие типы файлов: php, html, загружаемые из сети изображения и файлы.

Правильно ли я понимаю, если создать на хостинге новый каталог в определенном месте или файл соответствующего типа тоже в определенном каталоге, то права доступа как раз и пропишутся по умолчанию для этого нового каталога/файла, верно?


"Установка прав доступа на файлы/каталоги на хостинге и безопасн"
Отправлено rasjpro , 12-Янв-15 12:51 
PavelR, спасибо вам большое за подробный ответ, но мне бы надо не с точки зрения администратора, хостера, а с точки зрения клиента виртуального хостинга.

Т.е. вот у меня есть моя корневая директория, моего сайта. Там расположены каталоги и файлы.
У каждого файла и каталога есть 3 группы прав: владелец, группа, все остальные.
Вот мне бы хотелось всё вернуть в значения по умолчанию. Какие конкретно значения для этих 3-х групп для каждого типа файла/каталога:
a) .html
b) .php
c) каталоги
d) изображения, файлы, которые могут и должны загружаться с сайта

Правильно ли я понимаю, если создать на хостинге новый каталог в определенном месте или файл соответствующего типа тоже в определенном каталоге, то права доступа как раз и пропишутся по умолчанию для этого нового каталога/файла, верно?


"Установка прав доступа на файлы/каталоги на хостинге и безопасн"
Отправлено PavelR , 12-Янв-15 14:25 
>[оверквотинг удален]
> с точки зрения администратора, хостера, а с точки зрения клиента виртуального
> хостинга.
> Т.е. вот у меня есть моя корневая директория, моего сайта. Там расположены
> каталоги и файлы.
> У каждого файла и каталога есть 3 группы прав: владелец, группа, все
> остальные.
> Вот мне бы хотелось всё вернуть в значения по умолчанию. Какие конкретно
> значения для этих 3-х групп для каждого типа файла/каталога:
> a) .html
> b) .php

644 обычно, 640 в частном слегка параноидальном случае

> c) каталоги

755 обычно, 710 в частном, параноидальном случае

> d) изображения, файлы, которые могут и должны загружаться с сайта

Вы хотите сказать "загружаться на сервер пользователями сайта через сайт"?

Зависит от хостинга.

Если скрипты выполняются от пользователя сайта, то специальных прав не требуется, скрипты смогут записывать в любой каталог сайта.

Если скрипты выполняются от общего пользователя сервера ("www-data", "apache"), то тут всё зависит от настроек сервера. В некоторых случаях какие-то специальные права смысла ставить вообще не будет, т.к. ничем не поможешь.
В общем случае, надо менять группу каталога на  группу пользователя, от которого выполняются скрипты и менять права на 775, предоставив таким образом этому пользователю право записи в каталог.


> Правильно ли я понимаю, если создать на хостинге новый каталог в определенном
> месте или файл соответствующего типа тоже в определенном каталоге, то права
> доступа как раз и пропишутся по умолчанию для этого нового каталога/файла,
> верно?

В общем случае, права не зависят от места, где создается новый файл/каталог.

Если есть какая-то автоматическая система, то она может что-то делать по каким-то своим правилам, в том числе и смену прав на каталоги/файлы "в определенных каталогах".


"Установка прав доступа на файлы/каталоги на хостинге и безопасн"
Отправлено Pahanivo , 14-Янв-15 22:58 
Вообще говоря "ugo" это основы, некая философия - и тут два варианта: либо вы ее понимаете (или пытаетесь понять), либо нет :))


"Установка прав доступа на файлы/каталоги на хостинге и безопасн"
Отправлено rasjpro , 15-Янв-15 18:37 
спасибо