Я пытаюсь понять, как работает разрешение 777 для папок или файлов. Я провел небольшое исследование и понял, что разрешение 777 - не лучшее решение для безопасности. Ссылаясь на каталоги / файлы веб-приложений.
Я понимаю первые наборы чисел, которые являются владельцами и группами, однако я хотел бы пояснить, что разрешено 7 другим лицам. Кто другие пользователи на сервере? Или кто угодно (даже публичные пользователи, которые заходят на сайт через браузеры)? А как другие и какую угрозу могут вызвать другие, если у папки / файла веб-сайта было разрешение 777?
И есть ли определенные обстоятельства, при которых можно давать разрешение 777 для папок / файлов, например, примеры изображений, что-то еще?
Кто другие пользователи на сервере?
Остальные не являются пользователями системы, и их не учитывает владелец и / или группа. Общедоступные пользователи, например люди просматривают, получают доступ к файлам в системе через процесс, например apache httpd. Процесс принадлежит пользователю, и доступ к файлам предоставляется на основе разрешений, которые имеют отношение к пользователям во время доступа.
И есть ли определенные обстоятельства, при которых можно давать разрешение 777 для папок / файлов, например, примеры изображений, что-то еще?
В правильно сконфигурированной системе очень мало файлов, если они вообще должны быть 777. Принцип наименьшая привилегия следует применять всегда. Почему, например, вы хотите дать разрешение на выполнение для изображения, если оно не является исполняемым? Зачем предоставлять другим доступ на запись к исполняемому файлу?
Разрешение 777 определенно не означает, что
кто угодно (даже публичные пользователи, которые заходят на сайт через браузеры)
может изменить ваш файл.
Это значит, что кто-нибудь в системе может сделать это - и это потенциально много третьих лиц. Допустим, у вас есть один взломанный веб-сайт Wordpress, только один из многих других, который работает на apache или назначенном системном пользователе - этот сайт может использоваться для итерации системы, чтобы найти любой доступный (читаемый, записываемый, исполняемый) файл - и угадать кто на борту?
Итак, придерживайтесь общей рекомендации предоставлять только минимальные права для той части вашей системы (какой бы она ни была), необходимой для работы. 777 разрешение используется редко, кроме не личного несекретного /tmp тип файлов.
Считайте, что любая учетная запись службы выполняет действия с вашими файлами от имени пользователя как такового, включая любые вызовы system () в этих файлах. Чтобы использовать разрешения 777, необходимо взломать только одну учетную запись в системе.
Уже сам по себе этот факт открывает дверь к любой другой категории потенциальной опасности, с которой вы можете столкнуться в системе. Уязвим ли код к переполнению буфера и произвольному выполнению? Уязвима ли программа для эксплойтов SUID / GUID, позволяющих повысить привилегии? (Я думаю, здесь KDE eFax)
Имеющиеся надлежащие разрешения минимизируют риски такого рода.