• Авторизация
Дневник Lesechkin Лента друзей - Дневник - Полная версия


Оптимальные права доступа к файлам и папкам 26-11-2010 23:42 к комментариям - к полной версии - понравилось!


Взято здесь


Оптимальные права доступа к файлам и папкам вашего сайта, настройка и изменение прав доступа


Сегодня я хотел бы поговорить о правах доступа к файлам и папкам. Само понятие прав доступа на файлы и каталоги пришло в мир вебмастеринга из Unix подобных систем, на которых работает большинство хостингов. А раз ваш сайт установлен на сервере под управлением Unix той или иной вариации, то и работа с файлами и папками вашего сайта будет подчинена правилам, установленным этими операционными системами.


В Windows фактически для всех файлов устанавливаются максимальные права доступа, что, собственно, и приводит к засилью вирусов на наших компьютерах, а так же, в свою очередь, не дает умереть с голоду владельцам антивирусных компаний. В Unix системах дело обстоит иначе – все сложнее, но одновременно и безопаснее. Если все настроить правильно и со знанием дела, то можно существенно повысить безопасность своего сайта.


Если же все пустить на самотек и не заморачиваться с установкой нужных прав доступа на файлы и папки вашего сайта, то вероятность его взлома или заражения вредоносным кодом будет очень велика. Хорошо если у вас будут при этом иметься резервные копии всех ваших данных, а если нет?! Поэтому лучше сразу же, не откладывая в долгий ящик, произвести настройку и изменение прав доступа, исходя из принципа минимализма. Т.е. давать файлам и папкам минимально необходимые для корректной работы сайта права.


Права доступа к файлам и папкам


Давайте сначала разберемся в сути вопроса с правами доступа, чтобы понимать, что именно и каким образом мы настраиваем. Итак приступим. Права доступа разделяются на права доступа к файлам и права доступа к директориям. Обозначаются они одинаково, но означают немного разное.


Права доступа к файлам подразделяются на:



  • r — право на чтение данных из файла.

  • w — право на изменение содержимого файла (запись – только изменение содержимого, но не удаление).

  • x — право на исполнение файла.


Остановимся чуть подробнее на праве исполнения файла. Дело в том, что в Unix, любой файл может быть исполнен. Является ли он исполнительным - определяется не по его расширению (понятие расширение файла отсутствует в файловой системе Unix), а по правам доступа. Если у какого-либо файла установлено право “X”, то это означает, что его можно запустить на выполнение.


Теперь о правах доступа к папке (директории):



  • r — право на чтение директории (можно прочитать содержимое директории, т.е. получить список файлов, находящихся в ней)

  • w — право на изменение содержимого директории (можно создавать и удалять файлы в этой директории, причем если вы имеете право на запись, то удалять вы сможете даже те файлы, которые вам не принадлежат)

  • x — право, которое позволяет вам войти в директорию (это право всегда проверяется в первую очередь, и даже если вы имеете все нужные права на файл, который закопан глубоко в цепочке директорий, но не имеете права “X” для доступа хотя бы к одной директории на пути к этому файлу, то к файлу вы так и не пробьетесь )


В системах Unix все эти права раздает главный администратор компьютера, доступ к которому он получает путем ввода пароля. И если большинство файлов будут иметь права доступа только для чтения, то вирусам на таком компьютере делать будет практически нечего, т.к. они не смогут себя туда ни записать, ни затем исполниться. Именно этого результата нам нужно добиться, выставляя права доступа на файлы и директории нашего сайта.


Права доступа для групп пользователей


Сами права доступа подразделяются на три категории, в зависимости от того, кто обращается к файлу или директории:



  • "user" - u (непосредственно владелец файла)

  • "group" - g (член той же группы, к которой принадлежит владелец файла)

  • "world" - o (все остальные)


Сервер определяет, к какой группе пользователей вас отнести в момент подключения вас к серверу. Когда вы, например, подключаетесь к серверу по протоколу FTP, то вы входите под своим именем пользователя (и паролем), и тогда сервер относит вас к группе "user" (u). Прочие пользователи, которые тоже подключаются по FTP к серверу, будут отнесены к группе "group" (g), а пользователь, который приходит к вам на сайт, используя свой браузер, попадает в группу "world" (o).


Вариации трех возможных значений r, w и x для трех категорий u, g и o и определяют права доступа к файлам. Если не задана какая-то категория права, то она заменяется знаком дефисом «-«. Права доступа указываются последовательно в заданном порядке:



  1. сначала права для владельца - u

  2. затем права для группы - g

  3. и в конце права для всех остальных - o


После того, как сервер отнесет пользователя к определенной группе, он предоставляет ему права на действия с объектами, после чего пользователь сможет прочитать, записать или выполнить файл (в зависимости от того, что разрешено делать с данным объектом его группе). Чтобы посмотреть содержимое папки, папка должна иметь атрибут чтения r (для той группы, к которой сервер отнес пользователя). Чтобы создать файл или папку в уже существующей папке, необходимо, чтобы эта папкуа имела атрибут права на запись w.


Для наглядности давайте разберем пример, где владелец файла ("user" - u) имеет все права: право на чтение файла, запись в него и исполнение, а все остальные пользователи только право на чтение. Запись таких прав доступа будет выглядеть так: rwx r-- r--. Рассмотрим ее в деталях: rwx (эта запись задает права на объект для владельца - u), r-- (эта запись задает права на тот же объект, но в случае если пользователь отнесен сервером к группы - g), r-- (эта запись задает права на объект для всех остальных пользователей - o).


Чем отличаются права доступа к файлам и папкам


Получается, что существует три группы пользователей и три возможных действия с объектами (файлами и папками). Еще не запутались? Разложим все сказанное выше по полочкам в виде табличек. Сначала наглядно посмотрим, чем отличаются права доступа к файлам и папкам:


[показать]

А так же табличка, показывающая разнообразные комбинации прав доступа к папкам и файлам:


[показать]


Комбинации прав доступа выраженные в цифрах


Вы видите, что здесь для описания прав доступа используются записи с использованием латинских букв и дефисов, но вы, наверное, уже сталкивались с тем, что обычно права доступа задают в цифровом виде, например, всем известная комбинации: права доступа 777, разрешающая все и всем. Действительно, права доступа так же обозначают и цифрами:



  • r (читать) заменяют на 4

  • w (запись) заменяют на 2

  • x (исполнение) заменяют на 1

  • 0 означает – ничего не делать (то, что в буквенной записи обозначается дефисом)


Давайте опять вернемся к примеру записи прав доступа, приведенному мною чуть ранее: rwx r-- r--. Если заменить в ней буквы и дефисы на цифры, в соответствии с только что описанным правилом и при этом сложить цифры в каждой тройке, то получим цифровой вид этой записи: 744. Т.е. получается, что сумма этих цифр и показывает права доступа к файлам или папке. Например:



  • 7 (rwx) = 4 + 2 +1 (полные права)

  • 5 (r-x)= 4 + 0 + 1 (чтение и выполнение)

  • 6 (rw-) = 4 + 2 + 0 (чтение и запись)

  • 4 (r--) =4 + 0 + 0 (только чтение)

  • и т.д.


В этой таблицы приведены все возможные комбинации прав доступа записанные в цифровом виде:


[показать]

А теперь давайте рассмотрим различные комбинации прав доступа в цифрах, применительно к группам пользователей:


[показать]

Вы сами (кроме того случая, когда вы получаете доступ к сайту по FTP) и все остальные посетители вашего сайта, относитесь к группе “word” (все остальные), поэтому для работы с сайтом нам нужно в первую очередь смотреть на последнюю (третью) цифру прав доступа. Для того чтобы при работе пользователя с сайтом запускался файл скрипта достаточно будет, чтобы на него были установлены права доступа, начиная от 4 (r-- – только чтение) (5,6,7 тоже подойдут, но это будет лишнее в плане безопасности).


Для папки же, в которой лежит файл этого скрипта, нужно выставить минимум 5 (r-x - можно зайти в папку и прочитать его содержимое, удалять или добавлять файлы нельзя). 7 тоже подойдет, но тоже будет уже лишним в плане безопасности. Если нужно, чтобы скрипт не только читался, но и записывал какие-то данные (например, введенные пользователем), то минимальные права на папку по-прежнему будут 5, но для файла уже понадобятся права 6 (читать и записывать).


Скорей всего на сервере, куда вы скопировали файлы движка вашего сайта, будут установлены следующие права доступа к файлам и папкам:


[показать]

Если бы у вас был сайт, состоящий из одних файлов html, то можно было бы все так и оставить. Но современные сайты построены на движках, и там могут быть папки и файлы, в которые нужно будет производить запись от имени пользователей из группы «world» — o (все остальные). Это могут быть папки, используемые для кэширования страниц или те, в которые по ходу работы с сайтом будут загружаться картинки и др. Само собой, что если вы зайдете на сайт по FTP, то сможете призвести запись в эти файлы или папки, но работая с интерфейсом сайта, как обычный пользователь, у вас могут возникнуть проблемы. Поэтому к установке тех или иных прав доступа надо подходить избирательно:


[показать]

Изменить права доступа к файлам или папке можно использовать программу FileZilla, если права на какие-либо файлы поменять не получается, то можно попробовать сделать это PHP средствами.


Для Joomla, сразу после установки, можно поставить права доступа 777 на следующие папки:



administrator/backups/
administrator/cache/
administrator/components/
administrator/modules/
administrator/templates/
cache/
components/
images/
images/banners/
images/stories/
language/
language/en-GB/
language/ru-RU/
media/
modules/
plugins/
plugins/content/
plugins/search/
plugins/system/
templates/

После того как вы установите все расширении и произведете окончательные настройки, права доступа к большинству из приведенных выше папок, следует в целях повышения безопасности сайта вернуть к права доступа 755. Оставить 777 нужно будет на папки с кешем, с бекапом и с картинками. Для файлов, находящихся в корне сайта, кроме sitemap.xml, лучше установить права доступа 444 (для всех групп пользователей только чтение). На файл seting.php иногда советуют даже установить права доступа 400.


Точно такие же советы могу дать и по поводу установки прав доступа на файлы и папки для SMF и WordPress. Желательно, по возможности, оставлять на постоянной основе права доступа к папке 755 (кроме оговоренных выше папок кеша, картинок, бекапа и может быть еще каких-то, по мере необходимости), а права доступа к файлам 644. На файлы в корне сайта лучше поставить права доступа 444.


Если при работе с сайтом возникнет проблема с невозможностью записи настроек в какой-нибудь файл или невозможностью создать какой-нибудь папку, то можно временно поставить на требуемые файлы или папки большие права доступа (777, например), а потом все вернуть обратно (от греха подальше). И ни в коем случае не стоит оставлять (для простоты работы с сайтом) необоснованно завышенные права доступа.

вверх^ к полной версии понравилось! в evernote


Вы сейчас не можете прокомментировать это сообщение.

Дневник Оптимальные права доступа к файлам и папкам | Lesechkin - Lesechkin Дневник | Лента друзей Lesechkin / Полная версия Добавить в друзья Страницы: раньше»