chmod 777 到底有什么危险

2016-04-14 17:00:09 +08:00
 crepesofwrath
chmod -R 777 /var/www/html 到底有什么危险
http://askubuntu.com/questions/20105/why-shouldnt-var-www-have-chmod-777
如果 PHP 崩溃用户看到了包含密码的脚本又能怎样,我的 SSH 需要 key, 数据库禁止了远程登录,就算用户可以上传图片也会被验证,不存在执行上传恶意脚本的可能 toehold, escalate, how???
20487 次点击
所在节点    Linux
119 条回复
crepesofwrath
2016-04-14 22:01:03 +08:00
@asddsa 等我设置一下 i got a feeling !!!
jarlyyn
2016-04-14 22:04:54 +08:00
php 的茅与盾的问题啊。

缺乏统一入口的锅。
msg7086
2016-04-14 22:11:40 +08:00
@lhbc 所以 777 并不是提权,而是开放权限。
主要是允许任意账户修改系统配置的锅。
777 本身没法用于提权的。
crepesofwrath
2016-04-14 22:15:32 +08:00
@jarlyyn 不明白,你的意思是 PHP 入门太简单,每个人都能拿这口锅煮东西吃,懒惰的笨蛋也能,然后它毕竟是口锅,它不适合明星球员
lhbc
2016-04-14 22:16:05 +08:00
@msg7086 嗯,表述为开放权限比较好。
luckybird
2016-04-14 22:24:28 +08:00
运维功底还需加强啊
crepesofwrath
2016-04-14 22:30:45 +08:00
@luckybird 我觉得前面几位以后可能不如我 🙃
InneRs
2016-04-14 22:32:52 +08:00
没有绝对安全的系统。你哪怕对你的网站再有信心,多一层安全防护又不是坏事,更何况它根本不影响正常功能
luckybird
2016-04-14 22:34:00 +08:00
@crepesofwrath 大家心平气和地讨论,一起学习进步嘛
loading
2016-04-14 22:34:49 +08:00
现在都是脱裤为目的,不需要提升到 root 权限。
crepesofwrath
2016-04-14 22:44:13 +08:00
@InneRs 其实这源于昨天架设 Wordpress , Woocommerce 插件安装失败,还有 wp-config.php 需要自己 touch paste, 我觉得麻烦,,,几个小时后我就想 code Igniter 推荐把 application 移出可访问目录,我就 url 到了 mysite.com/wp-config.php 没有显示,我想可能是因为用的手机, Google 后我明白 PHP 正常运行 wp-config.php 是没有输出的,问题出在 PHP 配置错误可能会导致受攻击或出错崩溃 ... 要学习的太多了,
crepesofwrath
2016-04-14 22:47:14 +08:00
@loading simple & straight, sir you have me respect
jarlyyn
2016-04-14 23:10:32 +08:00
@crepesofwrath

不是,而是一般只有 php/asp 程序才会去整个目录 775/777

一般有入口程序的,给入口程序 770,其他的 664 就可以了。
crepesofwrath
2016-04-14 23:16:00 +08:00
@jarlyyn 不知道你说的是不是 python 和 java ,做 web 我只用过 PHP ,其实最近看 python 和 swift 的官方教程,以及回头看 C 语言,我就觉得每个变量一个$很麻烦,我喜欢 python 和 swift ,对 java 有偏见--黑客与画家
jarlyyn
2016-04-14 23:18:31 +08:00
@crepesofwrath

python/nodejs 我都用过,在权限上都比 php 省心的多。

有些东西,本来就是 php 的有点,有时候自然也成了缺点。
rubyvector
2016-04-14 23:19:09 +08:00
有潜在安全风险.具体的哥们去了解下 LINUX 文件权限基础啰
crepesofwrath
2016-04-14 23:30:04 +08:00
@jarlyyn 是啊,入门之后我有点“忘恩负义”的倾向
crepesofwrath
2016-04-14 23:31:16 +08:00
@rubyvector 今晚我会再看,用的少忘的很快
zwh8800
2016-04-14 23:38:35 +08:00
@Pastsong 蛤蛤,说到我心里了
Kirscheis
2016-04-15 00:46:17 +08:00
给我的感觉你完全没接触过编程, web ,*nix 和运维。。只是个人感受,没什么根据。
当然了我非常希望大家都用 777 ,因为学校里就有不少这么设置的,方便我脱库

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/271064

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX