Начало » Хостинг » Тех. поддержка » Security (права доступа) на нашем хостинге
 Security (права доступа) на нашем хостинге [сообщение #53] |
Вск, 11 Декабрь 2005 15:45  |
 long
Сообщений: 203
Зарегистрирован: Ноябрь 2005 |
Senior Member |
|
|
В этом тексте кратко описано, что такое права доступа, зачем они нужны именно Вам. Как ставить различные скрипты: Форум, Гостевую книгу, Счетчик и т.п.
Все это применительно к нашему хостингу.
Любой хостинг, да и вообще любая многопользовательская среда накладывает ограничения на доступ к файлам. Прежде всего это нужно самим пользователям, то есть Вам. Вы ведь не хотите, чтобы Ваши файлы мог изменять, стирать и т.п. кто угодно. Мало того, обычно и просмотр многих файлов недопустим (ниже будет написано почему).
Для тех, кто не хочет вникать в тонкости, а просто хочет знать, как сделать все правильно, – сразу приводим краткую инструкцию. Если Вы будете делать как тут написано, то скорее всего ничего большего Вам не потребуется. Если же этого не хватит, можно обратиться в тех.поддержку или же дочитать этот текст до конца. 
Итак, чтобы все работало как надо, следует:
-
заливать файлы, показывающиеся веб-сервером (html, gif и т.п.), в директорию site/имя_сайта/docs. Если Вы запишите их мимо директории docs, права доступа на эти файлы будут проставлены неправильно и их не будет видно через веб.
-
никогда не менять права на 777, да и вообще никак их не менять. При соблюдении этой инструкции все само будет делаться как надо. Рекомендации задать какие-то права для какого-то скрипта можно смело пропускать мимо ушей.
-
файлы, которые напрямую не показываются сервером, а например обрабатываются Вашими скриптами (какие-то данные форума, счетчика и т.п.),нужно записывать выше директории docs, то есть в директорию site/имя_сайта. Тогда их нельзя будет запросить через веб-сервер, минуя Ваш скрипт.
Для более продвинутых объясняем почему все обстоит так.
У каждого файла есть владелец (на самом деле еще и группа, но можно считать что она совпадает с владельцем). Понятно, что на хостинге владельцем файлов должен быть пользователь. Другие пользователи к этим файлам доступа иметь не должны.
Любая программа работает с файлами также от имени соответствующего системного пользователя, например, веб-сервер у нас работает под именем httpd. Понятно, что веб-сервер должен иметь возможность читать файлы, но ему совсем незачем давать возможность в них писать.
Почему? Потому что веб-сервер сам по себе показывает только html страницы, а они не содержат никакой логики (SSI у нас отключен, именно поэтому). Любые же скрипты у нас запускаются от имени их владельца. То есть если у Вас, например, login c100, то php скрипт будет работать под пользователем c100. А пользователю httpd будет достаточно иметь права только на чтение этого php (чтобы его запустить). Соответственно, никакие манипуляции с веб-сервером не позволят записать ничего в Ваши файлы, разумеется при условии, что Ваши скрипты безупречны (но это уже другая история).
Почему же в описании установки многих скриптов требование ставить права 777, то есть все могут делать, все что угодно? Потому что на многих хостингах менее гибкая система прав, плюс скрипты исполняются от имени веб-сервера. В такой ситуации (кстати, прискорбно распространенной) любой пользователь с помощью нехитрых манипуляций может, например, выкачать все Ваши скрипты, разумеется, вместе с login-ами и паролями Ваших баз данных...
На нашем хостинге используется расширенная система прав – ACL (Access Control List), которая позволяет задать права более гибко. У нас Ваши файлы принадлежат полностью Вам (и владелец и группа – Вы). Дополнительные права для различных сервисов, например, веб-сервера, проставляются индивидуально и не более, чем нужно. Так файлам, записанным в директорию site/.../docs автоматически выставляются права на чтение для веб-сервера.
Обратите внимание, что если Вы по ошибке запишите файлы выше директории docs, а потом перенесете их в docs, это уже не поможет. Так как права были проставлены в момент записи файлов по ftp. В таком случае их проще всего стереть и записать заново.
Кому интересно могут смотреть текущие права командой getfacl имя_файла. Но сильно не советуем их самостоятельно менять.
Веб-сервер дополнительно ограничен так называемым document root, это корень сайта, выше которого веб-сервер не может читать файлы (но Ваши скрипты могут). Этот root – как раз и есть директория docs. Это, например, запрещает через http-запрос получить log/error.log.
[Обновления: Вск, 11 Декабрь 2005 17:44]
Сотрудник OpenHosting
|
|
| |
| Re: Security (права доступа) на нашем хостинге [сообщение #496 ответ на 493 ] |
Вск, 18 Февраль 2007 11:14  |
viper
Сообщений: 30
Зарегистрирован: Ноябрь 2005 |
Member |
|
|
Здравствуйте.
В нормальной ситуации права не надо менять вообще.
И уж точно ни при каких обстоятельставх не надо устанавливать права 777 или 666.
Если у Вас что-то не работает, напишите нам.
Вполне возможно, что проблема не связана с правами доступа.
Сотрудник OpenHosting
|
|
| |
Переход к форуму:
Текущее время: Чтв Сен 9 06:23:10 MSD 2010
Время, затраченное на генерацию страницы: 0,08100 сек. |
Пользователи
Поиск
F.A.Q.
Регистрация
Вход
Начало
