VPS侦探论坛 › LNMP一键安装包 › 给网站目录授予权限后

89050909 发表于 2012-10-2 03:14:43

给网站目录授予权限后

chown www:www R /home/wwwroot/   这个命令执行后，确实可以用ftp上传修改文件等操作了，但是问题来了，但是给目录和文件设置权限不管怎么设置都没有用，把目录的执行权限全部去掉了，但是还是可以执行，写入权限去掉了，照样可以写入。。。。。很不解！军哥能解答下吗？怎么解决这个问题！


也有人说到了这个问题，可参考 https://bbs.vpser.net/viewthread.php?tid=7692

设为 www 了，你再怎么设属性都没用。


直接用命令把目录 和网站 文件 都用FTP的默认属性，   

开FTP也一样，直接用默认属性。   


这样就可把/home/wwwroot 目录设为 751这样就可防路站了。 这样才是安全的。

不过，还有很多的目录都需要设 751的，






请问军哥怎么恢复成都用FTP的默认属性，看到论坛上又有朋友说必须添加到www组，默认是用www账号来跑web服务的，可添加到www组后目录属性怎么设置都没有用，怎么做安全呢？很矛盾


我的网站好像有漏洞，网站根目录是/home/wwwroot/www，然后我不想让木马写入/home/wwwroot/www，可chown www:www R /home/wwwroot/   这个命令执行后，把/home/wwwroot/www写入权限去掉应该也是没有用的吧？怎么有效解决这个问题呢？

[ 本帖最后由 89050909 于 2012-10-2 03:26 编辑 ]

id886 发表于 2012-10-2 11:26:41

因为你设置目录为 www 用户组了。    所以，不管你设为什么属性。 通过 web 也就是 www用户组，都可以读写等任何操作。

这样是非常不安全的。。

只要目录为 www 组，你就算是给他设为 000 属性都一样可写可执行。。

所以，千万别用 www 组。


解决办法 1、   开FTP的时候，请使用 默认值。
               2、把 网站目录 改为FTP的默认组，即chown -R 65534:31 /home/wwwroot/xxx.com
               3、再把网站目录所有文件和目录改为 可写   chmod -R 777/home/wwwroot/xxx.com

好了，接下来，你就用FTP上去设置你网站下哪些要写可、可读。   这样才可防跨站等。   

记住，千万别用 www 组，就没有安全可言 ，注：这也只是在程序漏洞下，如程序没漏洞那就不会有安全问题。

89050909 发表于 2012-10-2 11:28:44

原帖由 id886 于 2012-10-2 11:26 发表 https://bbs.vpser.net/images/common/back.gif
因为你设置目录为 www 用户组了。    所以，不管你设为什么属性。 通过 web 也就是 www用户组，都可以读写等任何操作。

这样是非常不安全的。。

只要目录为 www 组，你就算是给他设为 000 属性都一样可写可执行。。

所 ...

哈，谢谢，就需要这个的回答啊，这样设置就很安全了！

id886 发表于 2012-10-2 11:52:22

回复 3# 的帖子

chown65534:31 /home/wwwroot/把这目录改为 FTP组。

再把这目录设为751 属性， 你还可防简单的跨站。

不然一站被黑，所有站都可拿下。

89050909 发表于 2012-10-3 09:04:21

原帖由 id886 于 2012-10-2 11:52 发表 https://bbs.vpser.net/images/common/back.gif
chown65534:31 /home/wwwroot/把这目录改为 FTP组。

再把这目录设为751 属性， 你还可防简单的跨站。

不然一站被黑，所有站都可拿下。


做好这些设置后如果被传木马的话，是否就可以防止提权了？还要做怎么设置更好的防止系统被提权呢？

89050909 发表于 2012-10-3 09:06:16

回复 5# 的帖子

做好这些设置后如果被传木马的话，是否就可以防止提权了？还要做怎么设置更好的防止系统被提权呢？

licess 发表于 2012-10-3 10:13:52

如果是php 5.3.5以上的可以
在php.ini里加入

open_basedir=/home/wwwroot/www.vpser.net/:/tmp/

open_basedir=/home/wwwroot/www.vpser.net/:/tmp/
这样防跨站基本没问题

89050909 发表于 2012-10-3 14:32:19

回复 7# 的帖子

军哥你上面的设置代码是只针对www.vpser.net 这个站的还是所有的虚拟主机？

licess 发表于 2012-10-3 15:35:41

回复 8# 的帖子

每个虚拟主机都可以按上面的格式设一个

89050909 发表于 2012-10-3 20:15:50

回复 9# 的帖子

php_admin_value open_basedir /home/wwwroot/   我已经在apache 配置文件上设置了这个，两者有什么区别和利弊

id886 发表于 2012-10-5 15:30:29

回复 10# 的帖子

apache   本身就防跨站你无需再这样设置。    自己上传个马马上去看就知道了。

apache 优势在于更安全，和伪静态更方便，其它没啥优势。

id886 发表于 2012-10-5 15:39:08

因为 这个环境的 apache已经做了安全限制。

php_admin_value open_basedir "/home/wwwroot/***.com:/tmp/:/var/tmp/:/proc/"



但是还有一个需要注意的， 就是 IP直接访问来跨。

所以，防止IP访问 /home/wwwroot/来跨，

或是还得得搞目录型 751 来防跨。

还有记得，建网站时把 路径加强加多。并设上层751。
其它的面板环境，都是这么干的，如/home/wwwroot/bwsd/ccbs/xxxx.com

89050909 发表于 2012-10-5 16:59:53

回复 12# 的帖子

谢谢        id886的解答，对于我们这些新手非常有帮助，希望以后能分享更多的安全设置方法:lol

大亦庄 发表于 2012-11-29 17:11:56

最近被meau.php的木马烦死，天天来，这么设置能防止这个木马吗？

licess 发表于 2012-11-29 18:31:12

回复 14# 的帖子

首先是按https://www.vpser.net/security/lnmp-remove-nginx-php-execute.html禁用上传目录，查来源，查漏洞，查文件是否被篡改，是否有可疑文件

查看完整版本: 给网站目录授予权限后