chmod 777 到底有什么危险

2016-04-14 17:00:09 +08:00
 crepesofwrath
chmod -R 777 /var/www/html 到底有什么危险
http://askubuntu.com/questions/20105/why-shouldnt-var-www-have-chmod-777
如果 PHP 崩溃用户看到了包含密码的脚本又能怎样,我的 SSH 需要 key, 数据库禁止了远程登录,就算用户可以上传图片也会被验证,不存在执行上传恶意脚本的可能 toehold, escalate, how???
20480 次点击
所在节点    Linux
119 条回复
crepesofwrath
2016-04-14 17:13:00 +08:00
没有人知道吗,我接着去谷歌
ylck
2016-04-14 17:21:04 +08:00
非业务相关用户 可 看到,可执行。文件有默认权限。。
crepesofwrath
2016-04-14 17:21:08 +08:00
pimin
2016-04-14 17:22:42 +08:00
本地提权,本来它没有机会的,你给他创造了便利
如果有某个内核漏洞你没及时处理,你以上所有安全假设都没用了
即便能打补丁的你都处理了,还有 0day 呢
lululau
2016-04-14 17:26:42 +08:00
chmod 777 会出问题不是因为你把权限放开了,而是因为这个操作把某些权限去掉了( set uid, 粘滞位等)
Shura
2016-04-14 17:35:38 +08:00
@lululau 那 0777 权限呢?
hellov22ex
2016-04-14 17:39:22 +08:00
777 权限太大,是个用户都可以执行,然后忘记了,好像是文件会丢一些信息?
crepesofwrath
2016-04-14 17:39:50 +08:00
http://serverfault.com/questions/144194/is-chmod-775-safe-to-use/144195
上面的回答我不是很明白,这个提问说明了我对 Linux 用户和权限的理解还不够深刻,实际上还没入门 ...
上面的链接我得到的结论是,假设系统本身没有漏洞,黑客让 PHP 崩溃?,浏览器用户就能够下载我的 PHP 脚本,但是这仍然对我没有本质的威胁,因为我的脚本写的很严密,而且我的主机不是共享的,只有一个用户 ... 这个总结可能比较愚蠢,我的起点就是一个 Web 程序员...
lululau
2016-04-14 17:40:32 +08:00
@Shura 0777 就是 777
helloworldwt
2016-04-14 17:49:13 +08:00
如果使用 chmod 777 使文件有执行权限有风险,那么正确的命令是啥呢
crepesofwrath
2016-04-14 17:58:37 +08:00
Wordpress 安装插件无法写入可能是我的解压和拷贝时没有拷贝正确的权限
demo
2016-04-14 18:00:48 +08:00
@helloworldwt 644 (斜眼
oott123
2016-04-14 18:05:46 +08:00
@helloworldwt chmod +x
cxbig
2016-04-14 18:21:48 +08:00
正常来说 folder 用 755 或 775 ,文件用 644 或 664
find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;

基本理念就是只给最少的权限
SCaffrey
2016-04-14 18:27:53 +08:00
有很大危险……

@cjsoft
Bardon
2016-04-14 18:40:39 +08:00
就是表示你 /etc/passwd 下所有用户(明确指定 /bin/false 的用户除外),都有权限执行该目录下所有文件
crepesofwrath
2016-04-14 18:40:45 +08:00
@cxbig thanks, least privileges principle 今天看到过 要完全理解只能到实践中去感受了
maskerTUI
2016-04-14 18:41:53 +08:00
我就是喜欢你这种有自信的年轻人
Pastsong
2016-04-14 18:42:09 +08:00
因为还有你不能控制的风险,就算有验证也可能有 bug 呢,可能被绕过呢?就算程序没有错误还有人呢是吧
crepesofwrath
2016-04-14 18:46:26 +08:00
@Bardon <3 your answer

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/271064

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX