在网上查找了一些关于网站目录权限配置的文章,比如lnmp环境下的网站根目录路径是
/var/www/html/webapp,我已经把webapp这个项目的文件访问权限配置好了(把webapp所有文件所属的组改成www-data,因为nginx和php也是www运行的,配置的目录权限是750,文件权限是640),但是依然无法访问,发现是/var/www/html的所属用户主和webapp不是一致的,因为其他用户权限是0,所以导致了网站无法打开。我把/var/www/html这三个目录权限改成777,就可以正常访问了。
那么我想问的是,/var/www/html这些目录权限该怎么配比较好?如果把/var/www/html所有文件和目录权限设置777,对webapp网站项目有安全影响吗?如果有的话,/var/www/html这三级目录的权限该怎么设置?请指教。
初学linux,小弟在这里感谢各位朋友的指点!
如果您有更好的关于网站权限配置的资料,请回复给我。
单纯配置为777是没事的,但是设想这样一种情况,你的页面允许用户上传任意类型的文件(包括php文件),然后用户将一个删库的脚本的php写出来,上传了,然后在浏览器输入地址,执行了它,那么就很可怕了。
但是删库的前提他要知道这个库的名字、表名、还有数据库的用户名密码,那么如果你的脚本有sql注入漏洞,他就能看到暴露出来的表结构。
同时用户先写一个php,把你的源代码抓出来,就得到用户名、密码。等等。
可见,安全问题是一系列漏洞构成的,如果你没有一个全局的观念,设置了文件的权限也无济于事。