valorius 0 Опубликовано: 11 января 2013 Рассказать Опубликовано: 11 января 2013 В общем поставил я ДЛЕ демо и возник у меня вопрос - какие права ставить на файлы и папки? При установке советует ставить права 777 для папки шаблонов и 666 для файлов в ней. У меня 755 и 644 соответственно. Затем на файлы .tpl я меньшил права до 600 и разницы в работе сайта не вижу. Зачем тогда рекомендовать права 666? Если нет разницы? Может есть какая нибудь статья о том какие права лучше выставлять для файлов и папок скрипта. Сейчас у меня на все файлы права 644 (кроме шаблонов - 600 и .htaccess - 444), папки - 755. А да если надо адресс сайта - mfiles.hol.es Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 11 января 2013 Рассказать Опубликовано: 11 января 2013 В общем поставил я ДЛЕ демо и возник у меня вопрос - какие права ставить на файлы и папки? Вы же сами и ответили: При установке советует ставить права 777 для папки шаблонов и 666 для файлов в ней Затем на файлы .tpl я меньшил права до 600 и разницы в работе сайта не вижу. Зачем? Теперь попробуйте отредактировать файл в админке DLE в разделе Шаблоны сайта Зачем тогда рекомендовать права 666? Затем, что не у всех Apache работает с правами владельца (mpm-ITK) Сейчас у меня на все файлы права 644 (кроме шаблонов - 600 и .htaccess - 444), папки - 755. Зачем тогда ставить права на шаблоны 600? 1 Цитата Ссылка на сообщение Поделиться на других сайтах
valorius 0 Опубликовано: 11 января 2013 Рассказать Опубликовано: 11 января 2013 Автор Зачем? Теперь попробуйте отредактировать файл в админке DLE в разделе Шаблоны сайта Все работает. Затем, что не у всех Apache работает с правами владельца (mpm-ITK) А вот про это можно поподробнее. Как определить с какими правами он работает, как их изменить и какие права лучше поставить? А если он работает с правами владельца, то мне что ли бессмысленно менять права на файлы, например ставить права 444 для .htaccess? Зачем тогда ставить права на шаблоны 600? А я и спрашиваю какие лучше поставить. Вот Вы написали, что при правах 600 шаблоны через админпанель не редактируются, но у меня все редактируется нормально. Это хорошо или плохо? Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 11 января 2013 Рассказать Опубликовано: 11 января 2013 Все работает. В таком случае у Вас Apache работает от имени владельца файла, а значит можно ставить chmod 600 chmod 600 можно ставить только на те файлы, которые не нужно загружать через браузер. Если Вы, например, на картинку 123.jpg поставите права 600, то картинка не загрузится через браузер. Если Вы ставите права 600 на все файлы в папках шаблона, то много файлов не загрузится (они у Вас в браузере возможно откроются лишь из-за того, что они уже загружены в кэш браузера) Минимальные права я бы поставил 604 (владелец может прочитать файл и изменять его, а "другие" могут только прочитать. Все кто входит в группу не смогут прочитать файл и изменять. Но это уже перебор) Лучше всё же ставить права 644Как определить с какими правами он работает, как их изменить и какие права лучше поставить? Создайте файлик 123.php и пропишите в него такой код: <?php system(id); ?> после чего запустите его в браузере. Вам выведется что-то вроде: uid=48(apache) gid=48(apache) groups=48(apache) context=unconfined_u:system_r:httpd_t:s0 Вместо apache будет Ваш логин, если Apache работает с правами владельца файла. uid - user id - идентификатор пользователя gid - group id - идентификатор группы groups - какие группы входят в группуА если он работает с правами владельца, то мне что ли бессмысленно менять права на файлы, например ставить права 444 для .htaccess? Когда Вы ставите chmod 444 на .htaccess, то запрещаете даже владельцу изменять файл. Всем можно только читать.Вот Вы написали, что при правах 600 шаблоны через админпанель не редактируются, но у меня все редактируется нормально. Если Вы не хотите редактировать шаблоны через DLE, то ставьте права 400, если планируете редактировать через DLE то ставьте 600 1 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 12 января 2013 Рассказать Опубликовано: 12 января 2013 Все работает. Это плохо. Потому как PHP интерпретатор у вас запускается в небезопасном режиме и может менять у вас любые файлы, даже те которые ему не положено. Например файлы скриптов. Рекомендация ставить 666 на шаблоны, это общая стандартная рекомендация для большинства правильно настроенных на безопасность хостингах, когда только такие права могут дать право на редактирование шаблонов из админпанели, и если не нужно редактировать шаблоны в админпанели, то права можно всегда убрать. А у вас все и вся доступно для записи. Это плохо в плане безопасности. Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 12 января 2013 Рассказать Опубликовано: 12 января 2013 (изменено) Это плохо. Потому как PHP интерпретатор у вас запускается в небезопасном режиме и может менять у вас любые файлы, даже те которые ему не положено. Например файлы скриптов. Что-то я запутался. Зачем же тогда этот mpm-itk? В результате всё, что далее вызывается апачем (в т.ч. mod_php, mod_python и др.), работает уже от имени пользователя нашего виртуалхоста. Иначе Apache работал бы от пользователя (apache|www|nobody) Если файл, например, engine.php имеет владельца zeos, группу zeos, chmod 644, а в конфиге виртуалхоста указано: AssignUserId zeos zeos, то Apache может делать с файлом всё, что хочет, как владелец файла. Выходит, лучше писать как-то так: AssignUserId zeos1 zeos1. И тогда создаваемые файлы Apache-м будут иметь владельца и группу zeos1 (Apache сможет изменять и удалять файлы, принадлежащие пользователю zeos1, но не сможет изменять и удалять файлы, у которых пользователь zeos (без цифры 1) ) имхо Изменено 12 января 2013 пользователем ZEOS.IN 1 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 12 января 2013 Рассказать Опубликовано: 12 января 2013 Выходит, лучше писать как-то так: AssignUserId zeos1 zeos1. И тогда создаваемые файлы Apache-м будут иметь владельца и группу zeos1 (Apache сможет изменять и удалять файлы, принадлежащие пользователю zeos1, но не сможет изменять и удалять файлы, у которых пользователь zeos (без цифры 1) ) Верно. Так и есть на безопасных хостингах. Апач файлы дистрибутива на сервер не загружает, их загружают по FTP, SSH и т.д. и файлам назначается FTP пользователь или другой, с помощью которого они были закачаны, а у Апача свой пользователь, поэтому engine.php на безопасных хостингах через скрипты изменить нельзя, но принадлежит FTP пользователю, а то что создал PHP скрипт, т.е. апач, может скриптами и управляться. Что-то я запутался. Зачем же тогда этот mpm-itk? В результате всё, что далее вызывается апачем (в т.ч. mod_php, mod_python и др.), работает уже от имени пользователя нашего виртуалхоста. Иначе Apache работал бы от пользователя (apache|www|nobody) Не везде так. В вашем случае уже все правильно настроено, а на большинстве серверов именно пользователь apache на все сайты и аккаунты. Этим грешат почти все VDS, потому как они получают сконфигурированное по умолчанию ПО, а собственную конфигурацию никто не проводит. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
valorius 0 Опубликовано: 12 января 2013 Рассказать Опубликовано: 12 января 2013 Автор Это плохо. Потому как PHP интерпретатор у вас запускается в небезопасном режиме и может менять у вас любые файлы, даже те которые ему не положено. Например файлы скриптов. Рекомендация ставить 666 на шаблоны, это общая стандартная рекомендация для большинства правильно настроенных на безопасность хостингах, когда только такие права могут дать право на редактирование шаблонов из админпанели, и если не нужно редактировать шаблоны в админпанели, то права можно всегда убрать. А у вас все и вся доступно для записи. Это плохо в плане безопасности. А что можно сделать в этом случае, если у меня виртуальный хостинг и нет прав доступа к кофигурационным файлам apache? Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 072 Опубликовано: 12 января 2013 Рассказать Опубликовано: 12 января 2013 А что можно сделать в этом случае, если у меня виртуальный хостинг и нет прав доступа к кофигурационным файлам apache? Это должен делать ваш хостинг провайдер в данном случае, если вы не имеете доступа, то сами вы это никак не сделаете. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.