লিনাক্স ওয়েব সার্ভারে আমার ওয়েবসাইটের ফাইল / ফোল্ডারগুলির কী অনুমতি থাকতে হবে?

এটি একটি লিনাক্স ওয়েব সার্ভারে ফাইল অনুমতি সম্পর্কিত একটি ক্যানোনিকাল প্রশ্ন ।

আমার কাছে লিনাক্স ওয়েব সার্ভার রয়েছে যা অ্যাপাচি 2 চলছে যা বেশ কয়েকটি ওয়েবসাইটকে হোস্ট করে। প্রতিটি ওয়েবসাইটের / var / www / এ নিজস্ব ফোল্ডার রয়েছে।

/var/www/contoso.com/
/var/www/contoso.net/
/var/www/fabrikam.com/

বেস ডিরেক্টরি / var / www / এর মালিক মূল: রুট। অ্যাপাচি www-ডেটা: www-ডেটা হিসাবে চলছে। ফ্যাব্রিকাম ওয়েবসাইটটি দুজন বিকাশকারী, অ্যালিস এবং বব দ্বারা পরিচালিত হয়। কনটোসোর উভয় ওয়েবসাইটই একজন বিকাশকারী ইভ দ্বারা পরিচালিত হয়। সমস্ত ওয়েবসাইট ব্যবহারকারীদের ছবি আপলোড করার অনুমতি দেয়। যদি কোনও ওয়েবসাইট আপস করা হয় তবে তার প্রভাব যতটা সম্ভব সীমাবদ্ধ হওয়া উচিত।

আমি অনুমতি স্থাপনের সর্বোত্তম উপায়টি জানতে চাই যাতে আপাচি সামগ্রীটি পরিবেশন করতে পারে, ওয়েবসাইট আক্রমণ থেকে সুরক্ষিত এবং বিকাশকারীরা এখনও পরিবর্তন করতে পারে। ওয়েবসাইটগুলির মধ্যে একটি এর মতো কাঠামোযুক্ত:

/var/www/fabrikam.com
    /cache
    /modules
    /styles
    /uploads
    /index.php

এই ডিরেক্টরিগুলি এবং ফাইলগুলিতে অনুমতিগুলি কীভাবে সেট করা উচিত? আমি কোথাও পড়েছি যে কোনও ওয়েবসাইটে আপনার কখনও permission permission7 অনুমতি ব্যবহার করা উচিত নয়, তবে কী সমস্যাগুলির কারণ হতে পারে তা আমি বুঝতে পারি না। ব্যস্ত সময়কালে ওয়েবসাইট স্বয়ংক্রিয়ভাবে কিছু পৃষ্ঠাগুলি ক্যাশে করে এবং ফলাফলগুলি ক্যাশে ফোল্ডারে সংরক্ষণ করে। ওয়েবসাইট দর্শকদের দ্বারা জমা দেওয়া সমস্ত সামগ্রী আপলোড ফোল্ডারে সংরক্ষণ করা হয়।

কোন অনুমতিগুলি ব্যবহার করবেন তা সিদ্ধান্ত নেওয়ার সময় আপনার ব্যবহারকারীরা কারা এবং তাদের কী প্রয়োজন তা ঠিক আপনার জানা দরকার। একজন ওয়েবসার্ভার দুই ধরণের ব্যবহারকারীর সাথে যোগাযোগ করে।

প্রমাণীকৃত ব্যবহারকারীদের সার্ভারে একটি ব্যবহারকারীর অ্যাকাউন্ট রয়েছে এবং নির্দিষ্ট সুযোগ-সুবিধা দেওয়া যেতে পারে। এটিতে সাধারণত সিস্টেম প্রশাসক, বিকাশকারী এবং পরিষেবা অ্যাকাউন্ট অন্তর্ভুক্ত থাকে। তারা সাধারণত এসএসএইচ বা এসএফটিপি ব্যবহার করে সিস্টেমে পরিবর্তন করে।

বেনামে ব্যবহারকারীরা আপনার ওয়েবসাইটে দর্শক হয়। যদিও তাদের কাছে সরাসরি ফাইল অ্যাক্সেসের অনুমতি নেই, তারা ওয়েব পৃষ্ঠার জন্য অনুরোধ করতে পারেন এবং ওয়েব সার্ভার তাদের পক্ষে কাজ করে। ওয়েব সার্ভার প্রক্রিয়াতে কী অনুমতি রয়েছে সে সম্পর্কে যত্নবান হয়ে আপনি বেনাম ব্যবহারকারীদের অ্যাক্সেসকে সীমাবদ্ধ করতে পারেন। অনেকগুলি লিনাক্স বিতরণে, অ্যাপাচি www-dataব্যবহারকারী হিসাবে চালিত হয় তবে এটি আলাদা হতে পারে different আপনার সিস্টেমে অ্যাপাচি ব্যবহারকারী কী ব্যবহার করছে তা ব্যবহার ps aux | grep httpdবা ps aux | grep apacheদেখুন।

লিনাক্স অনুমতি সংক্রান্ত নোট

লিনাক্স এবং অন্যান্য POSIX- অনুবর্তী সিস্টেমগুলি traditionalতিহ্যগত ইউনিক্স অনুমতি ব্যবহার করে। ফাইল সিস্টেমে অনুমতি সম্পর্কে উইকিপিডিয়ায় একটি দুর্দান্ত নিবন্ধ রয়েছে তাই আমি এখানে সমস্ত কিছু পুনরাবৃত্তি করব না। তবে কয়েকটি বিষয় সম্পর্কে আপনার সচেতন হওয়া উচিত।

এক্সিকিউট বিট
ইন্টারপ্রিটেড স্ক্রিপ্টগুলি (যেমন। রুবি, পিএইচপি) এক্সিকিউট করার অনুমতি ব্যতীত ঠিক কাজ করে। শুধুমাত্র বাইনারি এবং শেল স্ক্রিপ্টগুলির এক্সিকিউট বিট প্রয়োজন। কোনও ডিরেক্টরিকে অতিক্রম করতে (প্রবেশ করতে) আপনাকে সেই ডিরেক্টরিতে অনুমতি কার্যকর করতে হবে। ডিরেক্টরিটি তালিকাভুক্ত করতে বা এর মধ্যে কোনও ফাইল পরিবেশন করার জন্য ওয়েবসভারটির এই অনুমতি প্রয়োজন।

ডিফল্ট নতুন ফাইল অনুমতিগুলি
যখন কোনও ফাইল তৈরি করা হয়, তখন সাধারণত এটি যিনি তৈরি করেছেন তার গ্রুপ আইডি উত্তরাধিকার সূত্রে প্রাপ্ত হয়। তবে কখনও কখনও আপনি নতুন ফাইলগুলি যে ফোল্ডারটি তৈরি করা হয়েছে তার গ্রুপ আইডি উত্তরাধিকারী করতে চান, যাতে আপনি প্যারেন্ট ফোল্ডারে এসজিআইডি বিট সক্ষম করতে পারেন।

ডিফল্ট অনুমতি মানগুলি আপনার উমাস্কের উপর নির্ভর করে। উমাস্ক সদ্য নির্মিত ফাইলগুলি থেকে অনুমতিগুলি বিয়োগ করে, সুতরাং 022 এর সাধারণ মান 755 দিয়ে ফাইল তৈরি হওয়ার ফলাফল দেয় a কোন গোষ্ঠীর সাথে সহযোগিতা করার সময়, আপনার উমাস্কটি 002 এ পরিবর্তন করা কার্যকর হবে যাতে আপনার তৈরি করা ফাইলগুলি গ্রুপের সদস্যদের দ্বারা পরিবর্তন করা যায়। এবং যদি আপনি আপলোড করা ফাইলগুলির অনুমতিগুলি কাস্টমাইজ করতে চান তবে আপনার আপায়কের জন্য উমাস্কটি পরিবর্তন করতে হবে বা ফাইল আপলোড হওয়ার পরে chmod চালাতে হবে।

777 নিয়ে সমস্যা

আপনি যখন chmod 777আপনার ওয়েবসাইট, আপনার কোনও সুরক্ষা নেই। সিস্টেমের যে কোনও ব্যবহারকারী আপনার ওয়েবসাইটের কোনও ফাইল পরিবর্তন বা মুছতে পারবেন। তবে আরও গুরুতরভাবে মনে রাখবেন যে ওয়েব সার্ভারটি আপনার ওয়েবসাইটের দর্শকদের পক্ষে কাজ করে এবং এখন ওয়েব সার্ভার যে ফাইলগুলি চালাচ্ছে একই ফাইলগুলি পরিবর্তন করতে সক্ষম। আপনার ওয়েবসাইটে যদি কোনও প্রোগ্রামিং দুর্বলতা থাকে তবে সেগুলি আপনার ওয়েবসাইটকে অজ্ঞান করতে, ফিশিং আক্রমণ sertোকাতে বা আপনার সার্ভার থেকে আপনাকে কখনও না জেনে তথ্য চুরি করতে কাজে লাগানো যেতে পারে।

তদ্ব্যতীত, যদি আপনার সার্ভারটি একটি সুপরিচিত বন্দরে চালিত হয় (যা অ-রুট ব্যবহারকারীদের শোনার পরিষেবাগুলি বিশ্ব-অ্যাক্সেসযোগ্য স্পাউং করা থেকে বিরত করা উচিত), এর অর্থ আপনার সার্ভারটি অবশ্যই রুট দিয়ে শুরু করা উচিত (যদিও কোনও বুদ্ধিমান সার্ভার তত্ক্ষণাত ড্রপ হবে) একবার বন্দর সীমাবদ্ধ হলে একটি স্বল্প-সুবিধাপূর্ণ অ্যাকাউন্টে)। অন্য কথায়, আপনি যদি এমন কোনও ওয়েবসার্ভার চালিয়ে যাচ্ছেন যেখানে মূল নির্বাহযোগ্য সংস্করণ নিয়ন্ত্রণের অংশ (যেমন একটি সিজিআই অ্যাপ্লিকেশন) থাকে তবে তার অনুমতিগুলি (বা, এই বিষয়টির জন্য, অন্তর্ভুক্ত ডিরেক্টরিটির অনুমতিগুলির অনুমতিগুলি রেখে) যেহেতু ব্যবহারকারী নাম পরিবর্তন করতে পারে এক্সিকিউটেবল) 7 777 এ যে কোনও ব্যবহারকারীকে যে কোনও নির্বাহযোগ্যকে রুট হিসাবে চালানোর অনুমতি দেয় ।

প্রয়োজনীয়তা সংজ্ঞায়িত করুন

• বিকাশকারীদের ফাইলগুলি পড়ার / লেখার অ্যাক্সেসের প্রয়োজন হয় যাতে তারা ওয়েবসাইট আপডেট করতে পারে
• বিকাশকারীদের ডিরেক্টরি পড়তে / লিখতে / চালানো দরকার যাতে তারা চারপাশে ব্রাউজ করতে পারে
• অ্যাপাচি ফাইল এবং ব্যাখ্যা স্ক্রিপ্ট অ্যাক্সেস প্রয়োজন
• পরিবেশনযোগ্য ডিরেক্টরিতে অ্যাপাচি পড়া / চালিত অ্যাক্সেস প্রয়োজন
• অ্যাপাচি আপলোড করা সামগ্রীর জন্য ডিরেক্টরি পড়তে / লিখতে / এক্সিকিউট করতে হবে needs

একক ব্যবহারকারীর দ্বারা রক্ষণাবেক্ষণ করা

কেবলমাত্র একজন ব্যবহারকারী যদি সাইটটি রক্ষণাবেক্ষণের জন্য দায়বদ্ধ হন তবে তাদের ওয়েবসাইট ডিরেক্টরিতে ব্যবহারকারীর মালিক হিসাবে সেট করুন এবং ব্যবহারকারীকে সম্পূর্ণ rwx অনুমতি দিন। অ্যাপাচি এখনও অ্যাক্সেস প্রয়োজন যাতে এটি ফাইলগুলি পরিবেশন করতে পারে, তাই www-ডেটাটিকে গ্রুপের মালিক হিসাবে সেট করুন এবং গোষ্ঠীটিকে rx অনুমতি দিন।

আপনার ক্ষেত্রে, ইভ, যার ব্যবহারকারীর নাম হতে পারে eve, একমাত্র ব্যবহারকারী যা বজায় রাখে contoso.com:

chown -R eve contoso.com/
chgrp -R www-data contoso.com/
chmod -R 750 contoso.com/
chmod g+s contoso.com/
ls -l
drwxr-s--- 2 eve      www-data   4096 Feb  5 22:52 contoso.com

যদি আপনার কাছে ফোল্ডারগুলি থাকে যা অ্যাপাচি দ্বারা লিখনযোগ্য হতে হয়, আপনি কেবলমাত্র গ্রুপের মালিকের জন্য অনুমতি মানগুলি সংশোধন করতে পারেন যাতে www-ডেটা লেখার অ্যাক্সেস থাকে।

chmod g+w uploads
ls -l
drwxrws--- 2 eve      www-data   4096 Feb  5 22:52 uploads

এই কনফিগারেশনের সুবিধাটি হ'ল এটি সিস্টেমের অন্যান্য ব্যবহারকারীর পক্ষে চলাফেরা করা আরও শক্ত (তবে অসম্ভব নয় *), যেহেতু কেবলমাত্র ব্যবহারকারী এবং গ্রুপের মালিকরা আপনার ওয়েবসাইট ডিরেক্টরি ব্রাউজ করতে পারবেন। আপনার কনফিগারেশন ফাইলগুলিতে গোপন তথ্য থাকলে এটি কার্যকর। আপনার উমাস্ক সম্পর্কে সাবধান! আপনি যদি এখানে একটি নতুন ফাইল তৈরি করেন তবে অনুমতি মানগুলি সম্ভবত 755 এ ডিফল্ট হয়ে যাবে You আপনি চালাতে umask 027পারেন যাতে নতুন ফাইলগুলি 640 ( rw- r-- ---) এ ডিফল্ট হয় ।

একদল ব্যবহারকারীর দ্বারা পরিচালিত

যদি একাধিক ব্যবহারকারীর সাইটটি রক্ষণাবেক্ষণের জন্য দায়বদ্ধ থাকে তবে আপনাকে অনুমতি বরাদ্দের জন্য একটি গোষ্ঠী তৈরি করতে হবে। প্রতিটি ওয়েবসাইটের জন্য পৃথক গোষ্ঠী তৈরি করা এবং সেই ওয়েবসাইটটির পরে গোষ্ঠীর নামকরণ করা ভাল অনুশীলন।

groupadd dev-fabrikam
usermod -a -G dev-fabrikam alice
usermod -a -G dev-fabrikam bob

পূর্ববর্তী উদাহরণে, আমরা গ্রুপের মালিককে অ্যাপাচি-তে সুবিধা দেওয়ার জন্য ব্যবহার করেছিলাম, কিন্তু এখন এটি বিকাশকারীদের গোষ্ঠীর জন্য ব্যবহৃত হয়। যেহেতু ব্যবহারকারীর মালিক আমাদের পক্ষে আর কার্যকর নয়, তাই কোনও সুযোগ ফাঁস না হওয়ার বিষয়টি নিশ্চিত করার একটি সহজ উপায় এটির মূলতে সেট করা। অ্যাপাচি এখনও অ্যাক্সেস প্রয়োজন, তাই আমরা বিশ্বের অন্যান্য অংশে পড়ার অ্যাক্সেস দেই।

chown -R root fabrikam.com
chgrp -R dev-fabrikam fabrikam.com
chmod -R 775 fabrikam.com
chmod g+s fabrikam.com
ls -l
drwxrwxr-x 2 root     dev-fabrikam   4096 Feb  5 22:52 fabrikam.com

আপনার যদি ফোল্ডারগুলি থাকে যা অ্যাপাচি দ্বারা লিখনযোগ্য হওয়া দরকার, আপনি অ্যাপাচি ব্যবহারকারী ব্যবহারকারী বা গোষ্ঠীর মালিককে তৈরি করতে পারেন। যে কোনও উপায়ে এটির প্রয়োজনীয় সমস্ত অ্যাক্সেস থাকবে। ব্যক্তিগতভাবে, আমি এটিকে ব্যবহারকারীর মালিক বানাতে পছন্দ করি যাতে বিকাশকারীরা এখনও আপলোড ফোল্ডারের সামগ্রীগুলি ব্রাউজ করতে এবং সংশোধন করতে পারে।

chown -R www-data uploads
ls -l
drwxrwxr-x 2 www-data     dev-fabrikam   4096 Feb  5 22:52 uploads

যদিও এটি একটি সাধারণ পন্থা, তবে একটি খারাপ দিক রয়েছে। যেহেতু সিস্টেমের প্রত্যেকটি ব্যবহারকারীর আপনার ওয়েবসাইটটিতে অ্যাপাচি-র মতো একই সুবিধা রয়েছে, তাই অন্য ব্যবহারকারীদের পক্ষে আপনার সাইটটি ব্রাউজ করা এবং এমন গোপনীয় ডেটা থাকতে পারে এমন ফাইলগুলি পড়া যেমন আপনার কনফিগারেশন ফাইলগুলি সহজেই সহজ।

আপনি আপনার কেক রাখতে পারেন এবং এটিও খেতে পারেন

এটি আরও উন্নত করা যেতে পারে। গোষ্ঠীর তুলনায় মালিকের পক্ষে কম সুযোগ-সুবিধা থাকা একেবারে আইনী, সুতরাং ব্যবহারকারীর মালিককে এটি রুটে অর্পণ করে নষ্ট করার পরিবর্তে, আমরা আপনার ওয়েবসাইটের ডিরেক্টরি এবং ফাইলগুলিতে অ্যাপাচি-র ব্যবহারকারীর মালিককে তৈরি করতে পারি। এটি একক রক্ষণাবেক্ষণকারী দৃশ্যের বিপরীত, তবে এটি সমানভাবে ভাল কাজ করে।

chown -R www-data fabrikam.com
chgrp -R dev-fabrikam fabrikam.com
chmod -R 570 fabrikam.com
chmod g+s fabrikam.com
ls -l
dr-xrwx--- 2 www-data  dev-fabrikam   4096 Feb  5 22:52 fabrikam.com

যদি আপনার কাছে ফোল্ডারগুলি থাকে যা অ্যাপাচি দ্বারা লিখনযোগ্য হতে হয় তবে আপনি কেবলমাত্র ব্যবহারকারীর মালিকের জন্য অনুমতি মানগুলি সংশোধন করতে পারেন যাতে www-ডেটা লেখার অ্যাক্সেস থাকে।

chmod u+w uploads
ls -l
drwxrwx--- 2 www-data  dev-fabrikam   4096 Feb  5 22:52 fabrikam.com

এই সমাধানটি সম্পর্কে আমাদের সাবধানতা অবলম্বন করার একটি বিষয় হল যে নতুন ফাইলগুলির ব্যবহারকারী মালিক www-ডেটাতে সেট না হয়ে স্রষ্টার সাথে মিলবে। সুতরাং আপনার তৈরি করা কোনও নতুন ফাইল আপনি এগুলি না ছাপিয়ে অ্যাপাচি দ্বারা পঠনযোগ্য হবে না।

* অ্যাপাচি সুবিধাদির বিচ্ছেদ

আমি আগে উল্লেখ করেছি যে অন্যান্য ব্যবহারকারীর পক্ষে আপনার ওয়েবসাইটের আশেপাশে ঝাঁপিয়ে পড়ার পক্ষে সম্ভব হয় আপনি যে ধরণের সুযোগ-সুবিধা ব্যবহার করছেন তা বিবেচনা করে না। ডিফল্টরূপে, সমস্ত অ্যাপাচি প্রক্রিয়া একই www-ডেটা ব্যবহারকারী হিসাবে চালিত হয়, সুতরাং কোনও অ্যাপাচি প্রক্রিয়া একই সার্ভারে কনফিগার করা অন্য সমস্ত ওয়েবসাইটের ফাইলগুলি পড়তে পারে এবং কখনও কখনও পরিবর্তনও করতে পারে। স্ক্রিপ্ট চালানোর জন্য অ্যাপাচি পেতে পারে এমন যে কোনও ব্যবহারকারী নিজেই অ্যাপাচে যেভাবে অ্যাক্সেস পেতে পারেন।

এই সমস্যাটি মোকাবেলায় অ্যাপাচে বিশেষাধিকার পৃথকীকরণের বিভিন্ন পদ্ধতি রয়েছে । যাইহোক, প্রতিটি পদ্ধতির সাথে বিভিন্ন কার্যকারিতা এবং সুরক্ষার ঘাটতি রয়েছে। আমার মতে, উচ্চতর সুরক্ষা প্রয়োজনীয়তা সহ যে কোনও সাইট একটি ভাগ করা সার্ভারে ভার্চুয়ালহোস্টগুলি ব্যবহার না করে একটি ডেডিকেটেড সার্ভারে চালানো উচিত।

অতিরিক্ত বিবেচনা

আমি এর আগে এটি উল্লেখ করিনি, তবে বিকাশকারীরা সরাসরি ওয়েবসাইট সম্পাদনা করানো খুব খারাপ অভ্যাস। বৃহত্তর সাইটগুলির জন্য, আপনি কোনও সংস্করণ নিয়ন্ত্রণ সিস্টেমের বিষয়বস্তু থেকে ওয়েবসারভার আপডেট করে এমন এক ধরণের রিলিজ সিস্টেম রাখাই অনেক ভাল। একক রক্ষণাবেক্ষণকারী পদ্ধতি সম্ভবত আদর্শ, তবে কোনও ব্যক্তির পরিবর্তে আপনার স্বয়ংক্রিয় সফ্টওয়্যার রয়েছে।

যদি আপনার ওয়েবসাইটগুলি এমন আপলোডগুলি মঞ্জুরি দেয় যেগুলি পরিবেশন করার প্রয়োজন হয় না, সেই আপলোডগুলি ওয়েবের মূলের বাইরে কোথাও সংরক্ষণ করা উচিত। অন্যথায়, আপনি খুঁজে পেতে পারেন যে লোকেরা এমন ফাইল ডাউনলোড করছে যা গোপনীয়তার উদ্দেশ্যে করা হয়েছিল। উদাহরণস্বরূপ, আপনি যদি শিক্ষার্থীদের অ্যাসাইনমেন্ট জমা দেওয়ার মঞ্জুরি দেন তবে তাদের একটি ডিরেক্টরিতে সংরক্ষণ করা উচিত যা অ্যাপাচি দ্বারা পরিবেশন করা হয়নি। এটি কনফিগারেশন ফাইলগুলির জন্য একটি ভাল পদ্ধতির যা গোপনীয়তা রয়েছে।

আরও জটিল প্রয়োজনীয়তা সহ একটি ওয়েবসাইটের জন্য আপনি অ্যাক্সেস কন্ট্রোল তালিকাগুলির ব্যবহার সন্ধান করতে পারেন । এগুলি সুবিধাগুলির উপর আরও পরিশীলিত নিয়ন্ত্রণকে সক্ষম করে।

যদি আপনার ওয়েবসাইটটির জটিল প্রয়োজনীয়তা থাকে তবে আপনি এমন স্ক্রিপ্ট লিখতে চাইতে পারেন যা সমস্ত অনুমতিগুলি সেট আপ করে। এটি পুরোপুরি পরীক্ষা করুন, তারপরে এটি নিরাপদ রাখুন। আপনি যদি কোনও কারণে নিজেকে নিজের ওয়েবসাইটটি পুনর্নির্মাণের প্রয়োজন মনে করেন তবে সোনার পক্ষে এটির ওজনের মূল্য হতে পারে।

আমি ভাবছি যে এত লোক কেন আপাচি (এবং / বা পিএইচপি) কী করতে পারে তা নিয়ন্ত্রণ করার জন্য লিনাক্স অধিকারের "অন্যান্য" (ও) অংশটি কেন ব্যবহার করে (বা প্রস্তাব দেয়)? এই ডান অংশটি "0" ব্যতীত অন্য কিছুতে সেট করে আপনি পুরো বিশ্বকে ফাইল / ডিরেক্টরিতে কিছু করার অনুমতি দিন।

আমার পদ্ধতির অনুসরণ করা হয়:

• আমি দুটি পৃথক ব্যবহারকারী তৈরি করি। এসএসএইচ / এসএফটিপি অ্যাক্সেসের জন্য একটি (যদি প্রয়োজন হয়), যা সমস্ত ফাইলের মালিক হবে এবং একটি পিএইচপি ফাস্টসিজিআই ব্যবহারকারীর জন্য (ব্যবহারকারী ব্যবহারকারী হিসাবে চালিত হবে)। আসুন এই ব্যবহারকারীদের যথাক্রমে বব এবং বব-www নামে কল করুন ।
• বব এর পুরো অধিকার থাকবে ( ফোল্ডারে rwx , ফাইলগুলিতে rw- ), যাতে সে পুরো ওয়েবসাইটটি পড়তে এবং সম্পাদনা করতে পারে।
• পিএইচপি FastCGI প্রক্রিয়া দরকার RX ফোল্ডার এবং এর অধিকার r-- মত অত্যন্ত সুনির্দিষ্ট ফোল্ডার ছাড়া, ফাইল অধিকার cache/বা uploads/, যেখানে "লিখুন" অনুমতি এছাড়াও প্রয়োজন হয়। পিএইচপি ফাস্টসিজিআইকে এই ক্ষমতা দেওয়ার জন্য এটি বব-www হিসাবে চলবে , এবং স্বয়ংক্রিয়ভাবে তৈরি হওয়া বব গ্রুপে বব- www যুক্ত হবে ।
• আমরা এখন নিশ্চিত করেছি যে সমস্ত ডিরেক্টরি এবং ফাইলগুলির মালিক এবং গ্রুপ বোব বব ।
• কিছু অনুপস্থিত: এমনকি আমরা ফাস্টসিজিআই ব্যবহার করি, তবে অ্যাটাকে এখনও স্ট্যাটিক সামগ্রী বা .htaccess ফাইলগুলির জন্য পড়ার অ্যাক্সেসের দরকার পড়ে যা এটি AllowOverrideঅন্য কিছুতে সেট করা থাকলে এটি পড়ার চেষ্টা করবে None। অধিকারের ও অংশটি এড়ানোর জন্য, আমি বব গ্রুপে www- ডেটা ব্যবহারকারীকে যুক্ত করি ।

এখন:

• বিকাশকারী কী করতে পারে তা নিয়ন্ত্রণ করতে আমরা অধিকারের u অংশের সাথে খেলতে পারি (তবে এটি নীচের নোটটি)।
• অ্যাপাচি এবং পিএইচপি কী করতে পারে তা নিয়ন্ত্রণ করতে আমরা অধিকারের জি অংশ নিয়ে খেলতে পারি ।
• ণ অংশ সবসময় 0 সেট করা হয়, তাই সার্ভারে অন্য কেউ পড়তে বা ওয়েবসাইট সম্পাদনা করতে পারেন।
• বব ব্যবহারকারী যখন নতুন ফাইল তৈরি করেন তখন কোনও সমস্যা নেই , যেহেতু এটি স্বয়ংক্রিয়ভাবে এর প্রধান গোষ্ঠী ( বব ) এর অন্তর্ভুক্ত হবে।

এটি একটি পুনরুদ্ধার, কিন্তু এই পরিস্থিতিতে, বব এসএসএইচ অনুমোদিত হয়। যদি কোনও ব্যবহারকারীকে ওয়েবসাইটটি সংশোধন করার অনুমতি না দেওয়া হয় (যেমন, গ্রাহক কেবল একটি সিএমএস অ্যাডমিন প্যানেলের মাধ্যমে ওয়েবসাইটটি পরিবর্তন করেন এবং লিনাক্সের জ্ঞান না থাকে), যাইহোক দুটি ব্যবহারকারী তৈরি করুন, তবে ববের/bin/false জন্য শেল হিসাবেও দিন, এবং এটির লগইন অক্ষম করুন।

    adduser --home /var/www/bobwebsite --shell /bin/bash bob
    adduser --no-create-home --shell /bin/false --disabled-login --ingroup bob bob-www
    adduser www-data bob
    cd /var/www/bobwebsite
    chown -R bob:bob .
    find -type d -exec chmod 750 {} \;
    find -type f -exec chmod 640 {} \;

দ্রষ্টব্য: লোকেদের ভুলে যাওয়ার প্রবণতা রয়েছে যে আপনার (মালিক) অধিকার সীমাবদ্ধ করা বেশিরভাগ সময় অকেজো এবং অনিরাপদ কারণ কোনও ফাইলের মালিক chmodকমান্ড চালাতে পারেন এমনকি অধিকারগুলিও 000 000

আমার পদ্ধতির কিছু সুরক্ষা সমস্যা আছে কিনা তা বলুন, কারণ আমি 100% নিশ্চিত নই, তবে এটিই আমি ব্যবহার করছি।

আমি মনে করি এই কনফিগারেশনের একটি সমস্যা আছে: যখন পিএইচপি / অ্যাপাচি একটি নতুন ফাইল তৈরি করে (যেমন আপলোড), এটি বব-www: বব এর অন্তর্ভুক্ত হবে এবং বব কেবল এটি পড়তে সক্ষম হবে। ডিরেক্টরিতে setuid সমস্যা সমাধান করতে পারে।

উপরের চমৎকার উত্তরের উপর গুগল র‌্যাঙ্ক দেওয়া, আমি মনে করি একটি বিষয় আছে যা লক্ষ্য করা উচিত, এবং আমি উত্তরটি পরে কোনও নোট রেখে যেতে পারি না বলে মনে করি।

উদাহরণস্বরূপ, আপনি যদি www-ডেটা ডিরেক্টরিতে (বা ফাইল) 570 অনুমতি নিয়ে গ্রুপ হিসাবে ডেভেলপ-ডেটা এবং মালিক হিসাবে ডেভ-ফ্যাব্রিকাম ব্যবহার করার পরিকল্পনা করেন, তবে লিনাক্স উপেক্ষা setuid করবে তা লক্ষ করা গুরুত্বপূর্ণ , সুতরাং সমস্ত নতুন ফাইলের মালিকানা থাকবে ব্যবহারকারী যে তাদের তৈরি। এর অর্থ হল যে নতুন ডিরেক্টরি এবং ফাইলগুলি তৈরি করার পরে আপনাকে এর মতো কিছু ব্যবহার করতে হবে:

chown -R www-data /newdirectory/
chmod -R 570 /newdirectory/

র‌্যাকস্পেস ওপেনস্ট্যাকের জন্য উবুন্টু 12.04-এ, আমার একটি অদ্ভুত সমস্যা ছিল যেখানে আমি সার্ভারটি রিবুট না করা পর্যন্ত 570 কাজ করার অনুমতি পেতাম না, যা ম্যাজিকভাবে সমস্যাটি সমাধান করেছে। আপাতদৃষ্টিতে সরল ইস্যুতে ক্রমবর্ধমান হারে চুল হারিয়েছিল ...

আমি এই কনফিগারেশনটি নিয়ে যাচ্ছি:

1. মালিক rootএবং গোষ্ঠীতে এক সেট আপলোড ব্যতীত সমস্ত ডিরেক্টরি root, এতে অনুমতি রয়েছে 0755।
2. সমস্ত ফাইল মালিক rootএবং গোষ্ঠীতে সেট করা হয়েছে root, এতে অনুমতি রয়েছে 0644।
3. আপলোড ডিরেক্টরি মালিক root, গোষ্ঠী www-data, এর কাছে অনুমতি সেট করে 1770। স্টিকি বিট গ্রুপের মালিককে ডিরেক্টরি এবং ডিরেক্টরিগুলির ভিতরে থাকা ফাইলগুলির নাম এবং নাম পরিবর্তন করতে দেয় না।
4. আপলোডগুলির ফোল্ডারের অভ্যন্তরে www-dataমালিক ব্যবহারকারী এবং গোষ্ঠী সহ একটি নতুন ডিরেক্টরি এবং ফাইলগুলি আপলোড করা 0700প্রতিটি www-dataব্যবহারকারীর জন্য অনুমতি ।
5. অ্যাপাচি কনফিগারেশন:

অস্বীকার করুন AllowOverrideএবং Indexআপলোড ডিরেক্টরিতে, যাতে আপাচি .htaccessফাইলগুলি না পড়েন এবং অ্যাপাচি ব্যবহারকারী আপলোড ফোল্ডারের বিষয়বস্তু সূচী করতে না পারে:

<Directory /siteDir>
   Options -Indexes
</Directory>

<Directory /siteDir/uploadDir>
   AllowOverride none
</Directory>

6. php.iniকনফিগারেশন:

open_basedir = /siteDir:/tmp:/usr/share/phpmyadmin
post_max_size = 5M
file_uploads = On
upload_max_filesize = 3M
max_file_uploads = 20

এই কনফিগারেশনের সাহায্যে www-dataব্যবহারকারী siteDir/ /tmpএবং এর বাইরে অন্য ডিরেক্টরিগুলির মধ্যে প্রবেশ করতে সক্ষম হবে না /usr/share/phpmyadmin। এছাড়াও আপনি একই অনুরোধে সর্বোচ্চ ফাইলের আকার, সর্বোচ্চ পোস্টের আকার এবং সর্বাধিক ফাইলগুলি আপলোড করতে পারেন control

যখন আপনার কাছে "লিও" নামক কোনও এফটিপি ব্যবহারকারী থাকে উদাহরণ ডটকম ওয়েব ডিরেক্টরিতে ফাইলগুলি আপলোড করা দরকার এবং আপনার "অ্যাপাচি" ব্যবহারকারীরও ক্যাশে ডিরেক্টরিতে আপ্লো-ফাইল / সেশন / ক্যাশে ফাইল তৈরি করতে সক্ষম হওয়া প্রয়োজন:

এই কমান্ডটি উদাহরণ ডটকমকে লিওকে মালিক এবং গোষ্ঠী হিসাবে অ্যাপাচি হিসাবে নির্ধারণ করে, অ্যাপাচি ব্যবহারকারী গ্রুপ অ্যাপাচের একটি অংশ তাই এটি অ্যাপাচি গ্রুপের অনুমতিগুলি উত্তরাধিকার সূত্রে প্রাপ্ত হবে

ডোবা -আর লিও: অ্যাপাচি উদাহরণ.কম

অন্য একটি আদেশ যা সঠিক অনুমোদনের নিশ্চয়তা দেয় এবং সুরক্ষা সংক্রান্ত উদ্বেগও পূরণ করে।

chmod -R 2774 উদাহরণ.com

এখানে প্রথম সংখ্যা 2 টি ডিরেক্টরির জন্য এবং বীমা করা প্রতিটি নতুন ফাইল একই গ্রুপ এবং মালিকের অনুমতিতে থাকবে ures 77 মালিক এবং গোষ্ঠীর পক্ষে তাদের সম্পূর্ণ অ্যাক্সেস রয়েছে। 4 টির অর্থ অন্যরা কেবলমাত্র খাতটি পড়তে পারে।

অনুমতি নম্বর বুঝতে নিম্নলিখিতটি সহায়ক

Number  Octal Permission Representation
0   No permission
1   Execute permission
2   Write permission
3   Execute and write permission: 1 (execute) + 2 (write) = 3
4   Read permission
5   Read and execute permission: 4 (read) + 1 (execute) = 5
6   Read and write permission: 4 (read) + 2 (write) = 6
7   All permissions: 4 (read) + 2 (write) + 1 (execute) = 7

আইএমওর একটি বিবেচনায় নিতে হবে:

• আপনি কি এমন কোনও প্রক্রিয়া বিশ্বাস করেন যা আপনার ফাইলগুলি পড়ে? যেমন। পিএইচপি?

ধরে নেওয়া যাক আপনার একটি সার্ভার রয়েছে যা ব্যবহারকারীর 'টেস্ট' এর অধীনে বিভিন্ন ডেটা রয়েছে।

'পরীক্ষা' ব্যবহারকারী সেখানে আছে:

• তার তথ্য $HOMEDIR
• তার মেইল $MAIL
• ওয়েব এর জন্য তার ডেটা /var/www/test

এখন এর সম্পর্কে চিন্তা করা যাক:

• একটি ওয়েব অ্যাপ্লিকেশন test(পিএইচপি-এফপিএম) এর অধীনে চলে - এটি তার যে কোনও ফাইল মুছতে পারে!
• একটি ওয়েব অ্যাপ্লিকেশন testগ্রুপের অধীনে চলছে (পিএইচপি-এফপিএম) - এটি তার যে কোনও ফাইল মুছে ফেলতে পারে যেখানে ডিরেক্টরিতে গ্রুপের জন্য 'ডাব্লু' রয়েছে এবং গ্রুপের জন্য 'র' রয়েছে এমন কোনও ফাইল পরিবর্তন করতে পারে; এবং এটি এখনও সেগুলি পড়তে পারে - উদাহরণস্বরূপ আপনার এসএসএস কীগুলি!

আসুন ধরে নেওয়া যাক পিএইচপি বগি, এবং এটি হ'ল আপনি কি এটির উপরে বিশ্বাস করেন open_basedir? আপনি কি chrootআপনার পিএইচপি প্রক্রিয়া? আপনি কি না, আপনি কি চান যে এটি সমস্ত ফাইল সিস্টেমের মধ্যে ক্রল হয়ে যায়?

আপনার ওয়েব অ্যাপ্লিকেশন প্রক্রিয়া, যেমন। পিএইচপি-এফপিএম, তারপরে হওয়া উচিত:

• এর মাধ্যমে নির্দিষ্ট পথে সীমাবদ্ধ থাকুন chroot
• ডেটা মালিকের প্রাথমিক ব্যবহারকারী বা প্রাথমিক গোষ্ঠী অনুমতিতে চালানো উচিত নয়

সুতরাং আপনি এটি করতে পারেন:

• পরীক্ষার ব্যবহারকারী হলেন: test:test
• পরীক্ষার ব্যবহারকারী একটি গৌণ গ্রুপে থাকে যেমন। test-www
• একটি ওয়েব অ্যাপ্লিকেশন (পিএইচপি-এফপিএম) এর অধীনে চলে test-www:test-www
• পরীক্ষা ব্যবহারকারী যদি তিনি চান যে ওয়েব অ্যাপটি তার ফাইলগুলি পড়তে পারে তবে তা করবে: chmod u=rwX,g=rX,o= /var/www/test/public
• পরীক্ষা ব্যবহারকারী যদি তিনি চান যে ওয়েব অ্যাপটি তার ওয়েব ডেটা পাথে লিখতে পারে: chmod u=rwX,g=rwXs,o= /var/www/test/public/upload (সুতরাং অ্যাপ্লিকেশনটি নতুন ফাইলগুলি তৈরি করবে: test-www:test-www- ডিরেক্টরিতে সেটগিডের কারণে এতে টেস্ট-www গ্রুপ থাকবে!)

সুতরাং, ওয়েব অ্যাপ্লিকেশন প্রক্রিয়াটি যদি বোগাস হয় তবে এটি কেবল সুনির্দিষ্ট ফাইলগুলি পড়বে যা গ্রুপ পড়বে, এবং এটি uploadকেবল দিরের কাছেই লিখতে সক্ষম হবে । আমি সেই uploadদৃশ্যের সাথে দৃ noexec,nodev,nosuid mountoptions ়ভাবে সুপারিশ করব যে বিকল্পগুলি সহ একটি ফাইল সিস্টেমে রয়েছে এবং সেই ডিরেক্টরিতে কোনও নতুন বিজার ফাইলের জন্য ধ্রুব পর্যবেক্ষণ করতে হবে, পাশাপাশি test-wwwইউআইডি এর অধীনে কোনও নতুন প্রক্রিয়াও নিরীক্ষণ করব ।

লিনাক্সে আরও ভাল টিউন অনুমতিগুলির জন্য এসিএল ব্যবহার করা যেতে পারে। যদি একাধিক মানুষের ওয়েব ডেটা আপলোড করা উচিত, তবে ওয়েব ডেটা ফাইলগুলি আপলোড করতে ব্যবহৃত অ্যাকাউন্ট থেকে মানব অ্যাকাউন্টটি বিভক্ত করা ভাল। নতুন অ্যাকাউন্ট তৈরি করতে যেমন। test-upload, এবং পরীক্ষা ব্যবহারকারী ssh কী পরিচালনা করতে পারে যেখানে কোন মানব সেখানে ssh / sftp করতে পারে তা সীমাবদ্ধ করে। বিকল্পগুলি sshd_configজানে ExposeAuthInfoতাই ডেটা আপলোড করার জন্য কোন ssh কী ব্যবহৃত হয়েছিল তা লগ করার জন্য এটি কনফিগার করা যেতে পারে।

আমি সত্যিই সন্দেহ করি বেশিরভাগ ওয়েব হোস্টিং পরিষেবাদি সুবিধাগুলি পৃথকীকরণের বিষয়ে যত্নশীল, যখন তারা কোনও তথ্য ছাড়াই 'সুরক্ষিত' লেখেন, তখন আমি বলব যে তারা মিথ্যা বলে।