apache如何设置文件系统权限

Linux apache如何设置文件系统的用户和组权限,使网站更加安全。
已邀请:
匿名用户

匿名用户

赞同来自: llslx520

  一般情况下,apache httpd进程都是以用户apache和组apache运行的。不建议将站点非必须写文件的目录的可写权限授权给httpd进程,只需将必须写文件的目录的写权限授权给httpd进程即可,这些目录包括缓存目录、上传目录、日志目录等。 
  这样做的好处是,防止站点上的脚本文件被黑,比如电子商务网站中的收款支付宝帐号,被黑客修改为黑客的支付宝帐号,从而导致财务损失。

1、确认apache的主配置文件:
确认apache的主配置文件中/etc/httpd/conf/httpd.conf 的用户和组配置项如下。
User apache
Group apache
  
2、设置网站目录所有者:
#架设网站根目录为 /web/aiezu.com
chown -R root:apache /web/aiezu.com
这里我们将站点目录的所有者设置为root,用户组设置为apache。也就是说告诉服务器系统,这个站点目录归root用户所有,apache服务进程的权限,按照下面一条的权限设置中的用户组权限行使。

3、设置网站目录权限:
设置站点目录的权限分为三种类型:普通文件,权限设置为0640(文件所有者root可读写,apache组用户可读,其他用户无权限);只读目录,权限设置为0750(目录所有者root可读写执行,apache组用户可读执行,其他用户无权限);可写目录,权限设置为0770(目录所有者root和apache组用户可读写执行,其他用户无权限)。
#网站跟目录为 /web/aiezu.com
cd /web/aiezu.com
find -type f -exec chmod 640 {} \; #文件
find -type d -exec chmod 750 {} \; #只读目录
find cache/ -type d -exec chmod 770 {} \; #可写目录 cache
find uploads/ -type d -exec chmod 770 {} \; #可写目录 uploads
设置完成后重启apache服务。

  经过以上设置后,我们更新网站时通过root用户来进行,apache httpd进程通过apache组来访问网站目录。以后更新网站后,再次执行第2、3步确认权限,从而确保安全。

注:上面为个人观点,紧供参考,有不同意见的欢迎交流。

要回复问题请先登录注册