chmod 777 到底有什么危险

2016-04-14 17:00:09 +08:00
 crepesofwrath
chmod -R 777 /var/www/html 到底有什么危险
http://askubuntu.com/questions/20105/why-shouldnt-var-www-have-chmod-777
如果 PHP 崩溃用户看到了包含密码的脚本又能怎样,我的 SSH 需要 key, 数据库禁止了远程登录,就算用户可以上传图片也会被验证,不存在执行上传恶意脚本的可能 toehold, escalate, how???
20487 次点击
所在节点    Linux
119 条回复
crepesofwrath
2016-04-15 11:03:31 +08:00
@asddsa 本来可以留个最新版的 Wordpress+同名数据库 可是当我删除 history 的时候发现还有其它文件夹,比如.mysql_history 和 .ssh 删除后者我的 public key 没有了 现在我也无法登陆 所以不能说我小气 有本事改掉我的主页
Bardon
2016-04-15 11:06:03 +08:00
安全问题,就是增加攻击者的成本。
换句话说,就是无关紧要的服务关了,无关紧要的端口关了,常用端口混淆混淆,只需要读权限的,绝不给写权限,对外开放的服务,单独开一个用户去管理,习惯目录 0700 与文件 0600 (特定除外),个别文件 0400 ,只有需要两个用户接管同一个目录的时候,才会考虑将两用户扔到同一个 group ,给目录一个 group 的权限。
当然平时注意更新上游的补丁包是必须的。
Bardon
2016-04-15 11:06:45 +08:00
@donotgo 真不知道,这就是沟通成本。
crepesofwrath
2016-04-15 11:15:46 +08:00
@lianyue 0day 的原因是三个 7 ?


@Felldeadbird 的确,如果我的知识或实战水平达到了那个程度,就不会问这个问题


@abc123ccc 尽管实际上我否认折腾自己,并且指明了系统配置安全的假设


@ivenvd 后一个比较明白
lfzyx
2016-04-15 11:17:50 +08:00
参见 马航波音 777
asddsa
2016-04-15 11:23:12 +08:00
@crepesofwrath 嗯你真厉害。
crepesofwrath
2016-04-15 11:34:09 +08:00
@Bardon 只有达到了一定层次,才能解释的这么简单
@lfzyx 到时间了结这个问题了,设计的好,就会比较安全和舒适,
shiny
2016-04-15 11:38:54 +08:00
@crepesofwrath 以前小单位,运维也是程序员管, DedeCMS 三天两头出问题,被人提权了还要跑机房,因为他们拔网线…… 经过这样的设置后,后来几年都出过问题,只需要定时去目录里收割 php 木马,看看最近又流行什么木马了。
shiny
2016-04-15 11:39:58 +08:00
都出过问题 => 都没出过问题
crepesofwrath
2016-04-15 11:48:32 +08:00
@shiny Wordpress 我都不信任,国内的 CMS 我认为就是一口锅,谁用谁背,一个小团队能搞定的事偏要弄一个山寨轮子,我记得黑客与画家 Paul Graham 提到,大概意思是,我的理解,开发的人少,背锅的人多
shiny
2016-04-15 11:56:10 +08:00
@crepesofwrath 以前小公司开项目都不是 PHP 程序员开出来的,而是一个国内 CMS 加一个懂一点点的前端折腾一个月就出来了,然后做 SEO ,流量还真上来了…… 这个时候再去接手,就相当被动。
crepesofwrath
2016-04-15 12:03:42 +08:00
@shiny 其实我很佩服你的勇气,因为我没有,但是我遇到过一个不错的老板,他说你能开发出来和这个一模一样的网站就可以不用 CMS... 他问要多久,你要多少钱,我说两个周,后面就犹豫了,比较惊讶,当时我毕业几乎什么都不懂, w3schools.com 看过一遍就自认为比很多人强,实际上现在我还是个新手,因为我没有勇气面对一个烂摊子 😂
ryd994
2016-04-15 12:16:17 +08:00
而且说到底,会 777 说明你根本不知道你在干什么,不知道问题在哪里,而且对文件权限一无所知
在我手上, PHP 必须进虚拟机 /容器,至少也是 chroot
crepesofwrath
2016-04-15 12:22:51 +08:00
@ryd994 如果是一个大神这样说我会很惊讶 难道放进容器的门槛很高吗 😬
ryd994
2016-04-15 13:54:29 +08:00
@crepesofwrath 我的意思是这都是很基本的……
777 则是完全不可想象不可接受
ryd994
2016-04-15 14:00:25 +08:00
@crepesofwrath 而且进了容器就可以限制很多了,几乎没可能跑出来
进虚拟化的话就更加安全了
crepesofwrath
2016-04-15 17:21:54 +08:00
@ryd994 正要学习... 大部分人缺的就是最基本的,因此很多网站邮箱的两边加个空白字符都不行,这还是高级语言,如果我电路学得好,操作系统,数学,算法都很厉害,,,不知道我这会儿正在知乎回答什么样的问题
cherrymill
2016-04-26 13:51:16 +08:00
个人觉得只有在桌面 Linux 上或者入门者才会用 777..无论什么语境下,哪天 apache 爆出个漏洞 Linux 权限这个最后的防线可就帮不了你了
chujiandefannao
2021-08-20 13:57:45 +08:00
@ivenvd TG 账号甩一个 来个闷声发大财?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/271064

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX