Почему я не должен устанавливать разрешение 777 для / var / www?
Я знаю, что я не первый, кто спрашивает об этом, но мне все еще неясно. Я имею в виду, что в этом посте мы можем прочитать, что
777 в целом плохое разрешение, и я покажу вам, почему.
Несмотря на то, как это может выглядеть в казино или в Лас-Вегасе, 777 не означает для вас джекпот. Скорее, джекпот для тех, кто хочет изменить ваши файлы. 777 (и его уродливый родственник 666) разрешают права на чтение и запись (а в случае с 777 - Выполнить) другим. Вы можете узнать больше о том, как работают разрешения для файлов, но вкратце есть три группы разрешений: владелец, группа и другие. Устанавливая разрешение для 6 или 7 (rw- или rwx) для других, вы даете любому пользователю возможность редактировать и управлять этими файлами и папками. Как правило, как вы можете себе представить, это плохо для безопасности. (...)
Но в примере мы видим, что другой пользователь все еще находится на том же ПК. В чем опасность по сети? Может ли кто-нибудь получить доступ или изменить ваши файлы данных удаленно? (В моем случае я говорю о веб-сайте STATIC.)
1 ответ
Если какая-либо программа на вашем компьютере, которая подключается к внешнему миру, имеет какую-либо уязвимость, злоумышленник может взломать эту программу и сделать все, что ему разрешено. Например, даже если вы используете статический веб-сайт, в apache или nginx или в любом другом используемом вами приложении могут быть уязвимости, которые позволяют злоумышленникам отправлять тщательно созданный HTTP-запрос, который переполняет буфер или что-то подобное и заменяет код этой программы работает со своим собственным кодом.
Если учетная запись, на которой веб-сервер работает с правами на запись /var/www, злоумышленник может затем развернуться и молча вставить вредоносное ПО в ваши веб-страницы.
И когда подобные эксплойты обнаруживаются на основных веб-серверах, вы можете рассчитывать на то, что на следующий день люди будут запускать скрипты, автоматически подключаясь к каждому серверу, который смогут найти, и пытаясь применить эти эксплойты.
Если вы обращаетесь к общедоступному Интернету и где-то есть ссылка на ваш сайт , взгляните на свои журналы httpaccess, и вы увидите все виды действительно глупых автоматических атак на ваш сервер, например люди, которые ищут установленную копию phpmyadmin и запускают сотни общих паролей.
С другой стороны, если веб-сервер работает под учетной записью, которая не может выполнять запись в какие-либо критические места на вашем компьютере, риски значительно уменьшаются.