Я только что прочитал эта полезная статья о разрешениях файлов, и я собираюсь реализовать на нашем веб-сервере максимально строгую политику разрешений для файлов. Наша ситуация: у нас есть веб-сервер, доступ к которому через sftp осуществляется разными пользователями внутри нашей компании, и у нас есть доступ широкой публике к Apache - иногда загрузка файлов через PHP. Я различаю папки и файлы по их использованию.
Итак, основываясь на этом чтении, вот мой план:
У всех людей, которым нужно загружать файлы, будут отдельные пользователи. Но все эти пользователи будут принадлежать к двум группам: загрузчики, и веб сервер. Apache будет входить в группу веб сервер.
Справочники
Файлы в корневом веб-каталоге
Каталоги загрузки
Загруженные файлы
Я не являюсь экспертом в области прав доступа к файлам, поэтому мой вопрос в том, является ли это наилучшей политикой для нашей ситуации? Любые предложения приветствуются.
Трудно дать однозначный ответ на этот вопрос, потому что безопасность - это баланс между защитой ваших ресурсов от злоумышленников и одновременным предоставлением вашим пользователям (и веб-серверу) доступа к ресурсам, к которым им нужен доступ.
Начиная с более ограниченной платформы, вы всегда можете облегчить безопасность, когда обнаружите, что большему количеству людей нужен доступ к определенным вещам. Похоже, вы много думали об этом, так что вы наверняка можете попробовать и облегчить ситуацию, когда узнаете больше о шаблонах использования и о том, что работает, а что не работает.