给网站目录授予权限后

89050909

chown www:www R /home/wwwroot/   这个命令执行后，确实可以用ftp上传修改文件等操作了，但是问题来了，但是给目录和文件设置权限不管怎么设置都没有用，把目录的执行权限全部去掉了，但是还是可以执行，写入权限去掉了，照样可以写入。。。。。很不解！军哥能解答下吗？怎么解决这个问题！


也有人说到了这个问题，可参考 https://bbs.vpser.net/viewthread.php?tid=7692

设为 www 了，你再怎么设属性都没用。


直接用命令把目录 和网站 文件 都用  FTP的默认属性，   

开FTP也一样，直接用默认属性。   


  这样就可把  /home/wwwroot 目录设为 751  这样就可防路站了。 这样才是安全的。

不过，还有很多的目录都需要设 751的，

请问军哥怎么恢复成都用  FTP的默认属性，看到论坛上又有朋友说必须添加到www组，默认是用www账号来跑web服务的，可添加到www组后目录属性怎么设置都没有用，怎么做安全呢？很矛盾


我的网站好像有漏洞，网站根目录是/home/wwwroot/www，然后我不想让木马写入/home/wwwroot/www，可chown www:www R /home/wwwroot/   这个命令执行后，把/home/wwwroot/www写入权限去掉应该也是没有用的吧？怎么有效解决这个问题呢？

[ 本帖最后由 89050909 于 2012-10-2 03:26 编辑 ]

id886

因为你设置目录为 www 用户组了。    所以，不管你设为什么属性。 通过 web 也就是 www用户组，都可以读写等任何操作。

这样是非常不安全的。。

只要目录为 www 组，你就算是给他设为 000 属性都一样可写可执行。。

所以，千万别用 www 组。


解决办法 1、   开FTP的时候，请使用 默认值。
                 2、把 网站目录 改为  FTP的默认组，即  chown -R 65534:31 /home/wwwroot/xxx.com
                 3、再把网站目录所有文件和目录改为 可写   chmod -R 777  /home/wwwroot/xxx.com

好了，接下来，你就用FTP上去设置你网站下哪些要写可、可读。   这样才可防跨站等。   

记住，千万别用 www 组，就没有安全可言 ，  注：这也只是在程序漏洞下，如程序没漏洞那就不会有安全问题。

89050909

原帖由 id886 于 2012-10-2 11:26 发表
因为你设置目录为 www 用户组了。    所以，不管你设为什么属性。 通过 web 也就是 www用户组，都可以读写等任何操作。

这样是非常不安全的。。

只要目录为 www 组，你就算是给他设为 000 属性都一样可写可执行。。

所 ...

哈，谢谢，就需要这个的回答啊，这样设置就很安全了！

id886

chown  65534:31 /home/wwwroot/  把这目录改为 FTP组。

再把这目录设为  751 属性， 你还可防简单的跨站。

不然一站被黑，所有站都可拿下。

89050909

原帖由 id886 于 2012-10-2 11:52 发表
chown  65534:31 /home/wwwroot/  把这目录改为 FTP组。

再把这目录设为  751 属性， 你还可防简单的跨站。

不然一站被黑，所有站都可拿下。

做好这些设置后如果被传木马的话，是否就可以防止提权了？还要做怎么设置更好的防止系统被提权呢？

89050909

做好这些设置后如果被传木马的话，是否就可以防止提权了？还要做怎么设置更好的防止系统被提权呢？

licess

如果是php 5.3.5以上的可以
在php.ini里加入
[HOST=www.vpser.net]
open_basedir=/home/wwwroot/www.vpser.net/:/tmp/
[PATH=/home/wwwroot/www.vpser.net]
open_basedir=/home/wwwroot/www.vpser.net/:/tmp/
这样防跨站基本没问题

89050909

军哥你上面的设置代码是只针对www.vpser.net 这个站的还是所有的虚拟主机？

licess

每个虚拟主机都可以按上面的格式设一个

89050909

php_admin_value open_basedir /home/wwwroot/     我已经在apache 配置文件上设置了这个，两者有什么区别和利弊

id886

apache   本身就防跨站  你无需再这样设置。    自己上传个马马上去看就知道了。

apache 优势在于更安全，和伪静态更方便，  其它没啥优势。

id886

因为 这个环境的 apache  已经做了安全限制。

php_admin_value open_basedir "/home/wwwroot/***.com:/tmp/:/var/tmp/:/proc/"



但是还有一个需要注意的， 就是 IP直接访问来跨。

所以，防止IP访问 /home/wwwroot/  来跨，

或是还得得搞目录型 751 来防跨。

还有记得，建网站时把 路径加强加多。并设上层751。  
其它的面板环境，都是这么干的，如/home/wwwroot/bwsd/ccbs/xxxx.com

89050909

谢谢        id886  的解答，对于我们这些新手非常有帮助，希望以后能分享更多的安全设置方法

大亦庄

最近被meau.php的木马烦死，天天来，这么设置能防止这个木马吗？

licess

首先是按https://www.vpser.net/security/lnmp-remove-nginx-php-execute.html禁用上传目录，查来源，查漏洞，查文件是否被篡改，是否有可疑文件