За последние 24 часа нас посетили 20624 программиста и 1103 робота. Сейчас ищут 348 программистов ...

Загрузка в папку 775

Тема в разделе "Настройка веб-сервера", создана пользователем Maputo, 16 янв 2016.

  1. Maputo

    Maputo Активный пользователь

    С нами с:
    30 июл 2015
    Сообщения:
    1.136
    Симпатии:
    173
    Все время для того чтобы обеспечить загрузку файлов на сервер через веб-интерфейс я устанавливал для папки загрузки права 777, но меня беспокоит вопрос безопасности такого решения.
    Есть ли возможность использовать для загрузки папку с правами 775?
     
  2. Fell-x27

    Fell-x27 Суперстар
    Команда форума Модератор

    С нами с:
    25 июл 2013
    Сообщения:
    12.155
    Симпатии:
    1.769
    Адрес:
    :сердА
    А что означает это 775 и чем отличается от 777 в плане доступа на запись по-вашему? Вы же в курсе, что это не просто циферки?
     
  3. Maputo

    Maputo Активный пользователь

    С нами с:
    30 июл 2015
    Сообщения:
    1.136
    Симпатии:
    173
    В курсе (хозяин, группа, все). Вы предлагаете поменять хозяина?
    Отличия в том, что редактировать нужно от имени пользователя системы, а загрузка от www-data.
    Кроме смены владельца есть еще какие-то решения?
    Хотя бы поделитесь опытом как вы обеспечиваете загрузку файлов на сервер через веб-интерфейс.
     
  4. Ganzal

    Ganzal Суперстар
    Команда форума Модератор

    С нами с:
    15 мар 2007
    Сообщения:
    9.902
    Симпатии:
    969
    возможность есть. либо apache собранный с mpm-itk либо php-fpm запускаемый от нужного пользователя. и права тогда 751.
     
  5. Maputo

    Maputo Активный пользователь

    С нами с:
    30 июл 2015
    Сообщения:
    1.136
    Симпатии:
    173
    Почему 751? А как другие откроют папку без прав на запуск? (Наверное 755?)
    То-есть я могу создать еще одного пользователя, сделать его владельцем этой папки и запускать скрипт от его имени?
     
  6. Fell-x27

    Fell-x27 Суперстар
    Команда форума Модератор

    С нами с:
    25 июл 2013
    Сообщения:
    12.155
    Симпатии:
    1.769
    Адрес:
    :сердА
    Почему нельзя всех, кому нужен доступ, выделить в общую группу-то? Отличия 775 от 777 только в том, что мимокрокодилам в 775 нельзя ничего писать. Для группы и владельца же правила в обоих случаях идентичны. Если у вас сервер работает от имени мимокрокодила, то это не проблема прав доступа :)
     
  7. Maputo

    Maputo Активный пользователь

    С нами с:
    30 июл 2015
    Сообщения:
    1.136
    Симпатии:
    173
    Вариант.

    Спасибо, друзья, вразумили)
     
  8. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.410
    Симпатии:
    1.768
    7 вообще не нужен :D
     
  9. Ganzal

    Ganzal Суперстар
    Команда форума Модератор

    С нами с:
    15 мар 2007
    Сообщения:
    9.902
    Симпатии:
    969
    именно что 751. учи матчасть.
    в контексте файла
    r - чтение
    w - запись
    x - исполнение как программы

    в контексте каталога
    r - листинг каталога
    w - создание/удаление/перемещение вложенного нода
    x - переход в пространство каталога

    то есть если ты сделаешь 751 на /home и root:adm то админы смогут видеть список пользовательских каталогов, а пользователи - нет. при этом ни у одного пользователя ничего не отваливается потому что единица позволит ему дойти до своего /home/user. а на /home/user тоже надо делать 751 - пользователь может делать всё что угодно, его группа только бродить-читать но не создавать/удалять. а остальные - только войти в каталог могут. и так далее.

    можно на /home/user сделать и 750 - тогда остальные не смогут вообще входить в каталог и нижележащие ресурсы.
     
  10. Maputo

    Maputo Активный пользователь

    С нами с:
    30 июл 2015
    Сообщения:
    1.136
    Симпатии:
    173
    В том то и дело, что с 1 выдается 403 при попытке доступа к файлу внутри папки
     
  11. Ganzal

    Ganzal Суперстар
    Команда форума Модератор

    С нами с:
    15 мар 2007
    Сообщения:
    9.902
    Симпатии:
    969
    правильно выдает, потому что у тебя некий общий пользователь владеет процессом веб-сервера. я ведь это рекомендовал относительно совета обрабатывать запросы от частных пользователей-групп а не общесерверного ввв-дата.
     
  12. Maputo

    Maputo Активный пользователь

    С нами с:
    30 июл 2015
    Сообщения:
    1.136
    Симпатии:
    173
    Тогда и 1 не нужна) Можно 0
    Вообще меня вариант с общей группой устраивает. Он довольно прост в исполнении.
     
  13. Ganzal

    Ganzal Суперстар
    Команда форума Модератор

    С нами с:
    15 мар 2007
    Сообщения:
    9.902
    Симпатии:
    969
    единственная проблема общей группы в том что если кто-то получает доступ к любой учетной записи входящей в эту группу - он получает 7 на доступ к этим общим ресурсам. при изолированных пользователях-группах - он останется только с той песочницей которую взломал.
     
  14. Maputo

    Maputo Активный пользователь

    С нами с:
    30 июл 2015
    Сообщения:
    1.136
    Симпатии:
    173
    В будущем возможно так и сделаю.