网站文件最小权限设置方法:
1、假如web服务器是apache,那么用户访问web页面的时候,就是通过apache服务(httpd)的所有者的身份进行访问,所以要将 apache也就是httpd服务的所有者和所有组设为apache或者自定用户,不要用root,这个一般安装的时候就会有默认设置。
2、网站程序的所有者不要和apache服务的所有者一样,如果一样就相当于给了普通访问者对web文件的所有操作权!一旦web程序有,那就 over了!默认一般是root,尽量改为其他用户,比如自己建立一个daemon,切记不要和apache服务的所有者一样。 3、对于网站根目录权限,按照最小权限的原则,应设置为755
4、对于缓存目录或者上传目录例如缓存目录:caches目录,由于此目录必须要有写权限,也就是目录同是有rwx三个权限,这时候可以直接建立一个 caches空目录,然后chown daemon.daemon ./caches,就是把caches所有者、所有组改为自定义的daemon就ok了,这样如果访问web页面,就会以apache的身份进入 caches建立缓存目录及文件,默认都是以最小权限建立!
5、对于普通目录,最小权限为755,普通用户不给写权限
6、对于普通文件,最小权限为644,普通用户不给执行权限 总而言之,言而总之就是:目录不要给写权限,文件不要给执行权限(除非特殊情况,如目录要上传)
############################################################################### 注:下文件和目录的读、写和执行权限的解析
对于文件来说,从字面上就可以理解,但对于目录来说,执行权限代表什么?它与读、写权限有什么不同呢?下面我们用实验说话: ### 实验数据准备 ### $ mkdir test — 创建目录test $ echo “hello” > test/f1 — 在目录test下创建文件f1 ########
1. 读权限
Code list:
# chmod 444 test — 修改目录为读权限(包括用户、组和其它)
# ls test — 查看目录test的文件列表
# f1 — 结果显示
# cat test/f1 — 再试下查看一下目录test中的文件f1
#cat: test/f1: Permission denied 由此可见,目录的读权限仅允许我们读目录,获得在该目录中所有文件名的列表,但无法查看目录中文件的内容。
2. 执行权限
Code list:
# chmod 111 test — 修改目录为执行权限(包括用户、组和其它)
# ls test — 查看目录test的文件列表
# ls: test/: Permission denied
# cat test/f1 — 查看目录test中的文件f1
# hello 由此可见,目录的执行权限不允许我们读取目录的文件列表,但可以查看目录中文件的内容。当一个目录是我们要访问文件的路径名的一个组成部分时,对该目录的执行权限使我们可通过该目录。
3. 写权限
Code list:
# chmod 222 test — 修改目录为写权限(包括用户、组和其它)
# echo “bye” > test/f1 — 修改目录test中的文件f1的内容
# -bash: test/f1: Permission denied
# chmod 333 test — 修改目录为执行、写权限(包括用户、组和其它) # echo “bye” > test/f1
# cat test/f1
# bye 由此可见,要修改目录中的文件内容,不仅仅需要目录的写权限,还需要目录的执行权限(这个很显然)