Безопасно ли давать права апачу на весь сайт?

Тема в разделе "Администрирование серверов", создана пользователем bork75, 30 мар 2012.

Модераторы: mefish, stooper
  1. bork75

    bork75 The Team

    Регистр.:
    21 июн 2008
    Сообщения:
    1.450
    Симпатии:
    717
    При установке многих cms нужно на определённые папки ставить права 777.
    Один мой товарищ, что бы не ставить права делает так chown -R apache:apache sait.ru, говорит, что это безопаснее чем давать папке права 777.
    Так ли это и есть ли какие-то недостатки если использовать апач?
     
  2. zerdek

    zerdek

    Регистр.:
    29 ноя 2007
    Сообщения:
    346
    Симпатии:
    50
    если возиться с владельцами, то я бы сделал
    1. chown -R apache:apache sait.ru
    2. инстал цмс
    3. chown -R root:apache sait.ru можно еще именно на папку sait.ru(без вложенных папок) поставить права 750 - руту все, апачу читать, а остальным там делать нечего.
    4. на папки для записи права 770 - т.е. разрешить запись руту и апачу или именно на эти папки владельца апач.

    если заливка сайта происходит через фтп, то "рута" заменить на фтп пользователя
    апача ставить владельцем всего домена не стоит, т.к. при малейшей дыре или ошибке весь сайт будет доступен на запись.
    а потом будут вопли, помогите вычистить "вирус" из N-сотен файлов цмс-ки...
     
    bork75 нравится это.
  3. danik

    danik

    Регистр.:
    26 июн 2007
    Сообщения:
    206
    Симпатии:
    53
    присваивать файлы пользователю под которым запущен apache безопастнее чем давать файлам 666 и папкам 777 в том случае если взлом сервера произойдет через другой сервис - не apache (то есть запущенный от пользователя отличного от того под которым запущен сервер apache), во всех остальных случаях разницы не будет (например если у вас несколько сайтов и один из них подломят, то злоумышленник будет иметь доступ ко всем файлам к которым имеет досутп apache)

    как вариант имеет смысл использовать разных пользователей и suPHP для того что бы запускать срипты каждого сайта из под своего пользователя.
     
    bork75 нравится это.
  4. danik

    danik

    Регистр.:
    26 июн 2007
    Сообщения:
    206
    Симпатии:
    53
    это конфигурируется в suphp.conf параметрами

    а вообще в случае ошибок имеет смысл мониторить лог
    зы но мы ушли в строну от вопроса ТС
     
  5. bork75

    bork75 The Team

    Регистр.:
    21 июн 2008
    Сообщения:
    1.450
    Симпатии:
    717
    Всем спасибо, разобрался.
    Оказывается, хостер с которым я долго работал, по умолчанию использовал предустановленный mpm itk,
    поэтому на новом сервере немного растерялся с правами.
     
  6. stooper

    stooper Shiva

    Moderator
    Регистр.:
    14 апр 2006
    Сообщения:
    534
    Симпатии:
    316
    в обще в Shared-hosting системе лучше добиться такой схемы, что бы доступ к каталогу своего сайта имел лишь тот юзер, который им реально владеет в системе, т.е. пользователь хостинг-аккаунта, и от этого пользователя запускается процесс апача.
    выполняемые вебсервером скрипты запускаются с правами пользователя-владельца виртуального хоста, а не вебсервера.
    т.е. каждому виртуалхосту по своему пользователю. сам работал с DirectAdmin, где Apache с mpm-itk - решает многие вопросы безопасности.