V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
crepesofwrath
V2EX  ›  Linux

chmod 777 到底有什么危险

  •  4
     
  •   crepesofwrath · 2016-04-14 17:00:09 +08:00 via iPhone · 20422 次点击
    这是一个创建于 3146 天前的主题,其中的信息可能已经有所发展或是发生改变。
    chmod -R 777 /var/www/html 到底有什么危险
    http://askubuntu.com/questions/20105/why-shouldnt-var-www-have-chmod-777
    如果 PHP 崩溃用户看到了包含密码的脚本又能怎样,我的 SSH 需要 key, 数据库禁止了远程登录,就算用户可以上传图片也会被验证,不存在执行上传恶意脚本的可能 toehold, escalate, how???
    119 条回复    2021-08-20 13:57:45 +08:00
    1  2  
    crepesofwrath
        101
    crepesofwrath  
    OP
       2016-04-15 11:03:31 +08:00 via iPhone
    @asddsa 本来可以留个最新版的 Wordpress+同名数据库 可是当我删除 history 的时候发现还有其它文件夹,比如.mysql_history 和 .ssh 删除后者我的 public key 没有了 现在我也无法登陆 所以不能说我小气 有本事改掉我的主页
    Bardon
        102
    Bardon  
       2016-04-15 11:06:03 +08:00
    安全问题,就是增加攻击者的成本。
    换句话说,就是无关紧要的服务关了,无关紧要的端口关了,常用端口混淆混淆,只需要读权限的,绝不给写权限,对外开放的服务,单独开一个用户去管理,习惯目录 0700 与文件 0600 (特定除外),个别文件 0400 ,只有需要两个用户接管同一个目录的时候,才会考虑将两用户扔到同一个 group ,给目录一个 group 的权限。
    当然平时注意更新上游的补丁包是必须的。
    Bardon
        103
    Bardon  
       2016-04-15 11:06:45 +08:00
    @donotgo 真不知道,这就是沟通成本。
    crepesofwrath
        104
    crepesofwrath  
    OP
       2016-04-15 11:15:46 +08:00 via iPhone
    @lianyue 0day 的原因是三个 7 ?


    @Felldeadbird 的确,如果我的知识或实战水平达到了那个程度,就不会问这个问题


    @abc123ccc 尽管实际上我否认折腾自己,并且指明了系统配置安全的假设


    @ivenvd 后一个比较明白
    lfzyx
        105
    lfzyx  
       2016-04-15 11:17:50 +08:00
    参见 马航波音 777
    asddsa
        106
    asddsa  
       2016-04-15 11:23:12 +08:00
    @crepesofwrath 嗯你真厉害。
    crepesofwrath
        107
    crepesofwrath  
    OP
       2016-04-15 11:34:09 +08:00 via iPhone
    @Bardon 只有达到了一定层次,才能解释的这么简单
    @lfzyx 到时间了结这个问题了,设计的好,就会比较安全和舒适,
    shiny
        108
    shiny  
       2016-04-15 11:38:54 +08:00
    @crepesofwrath 以前小单位,运维也是程序员管, DedeCMS 三天两头出问题,被人提权了还要跑机房,因为他们拔网线…… 经过这样的设置后,后来几年都出过问题,只需要定时去目录里收割 php 木马,看看最近又流行什么木马了。
    shiny
        109
    shiny  
       2016-04-15 11:39:58 +08:00
    都出过问题 => 都没出过问题
    crepesofwrath
        110
    crepesofwrath  
    OP
       2016-04-15 11:48:32 +08:00 via iPhone
    @shiny Wordpress 我都不信任,国内的 CMS 我认为就是一口锅,谁用谁背,一个小团队能搞定的事偏要弄一个山寨轮子,我记得黑客与画家 Paul Graham 提到,大概意思是,我的理解,开发的人少,背锅的人多
    shiny
        111
    shiny  
       2016-04-15 11:56:10 +08:00
    @crepesofwrath 以前小公司开项目都不是 PHP 程序员开出来的,而是一个国内 CMS 加一个懂一点点的前端折腾一个月就出来了,然后做 SEO ,流量还真上来了…… 这个时候再去接手,就相当被动。
    crepesofwrath
        112
    crepesofwrath  
    OP
       2016-04-15 12:03:42 +08:00 via iPhone
    @shiny 其实我很佩服你的勇气,因为我没有,但是我遇到过一个不错的老板,他说你能开发出来和这个一模一样的网站就可以不用 CMS... 他问要多久,你要多少钱,我说两个周,后面就犹豫了,比较惊讶,当时我毕业几乎什么都不懂, w3schools.com 看过一遍就自认为比很多人强,实际上现在我还是个新手,因为我没有勇气面对一个烂摊子 😂
    ryd994
        113
    ryd994  
       2016-04-15 12:16:17 +08:00 via Android
    而且说到底,会 777 说明你根本不知道你在干什么,不知道问题在哪里,而且对文件权限一无所知
    在我手上, PHP 必须进虚拟机 /容器,至少也是 chroot
    crepesofwrath
        114
    crepesofwrath  
    OP
       2016-04-15 12:22:51 +08:00 via iPhone
    @ryd994 如果是一个大神这样说我会很惊讶 难道放进容器的门槛很高吗 😬
    ryd994
        115
    ryd994  
       2016-04-15 13:54:29 +08:00
    @crepesofwrath 我的意思是这都是很基本的……
    777 则是完全不可想象不可接受
    ryd994
        116
    ryd994  
       2016-04-15 14:00:25 +08:00
    @crepesofwrath 而且进了容器就可以限制很多了,几乎没可能跑出来
    进虚拟化的话就更加安全了
    crepesofwrath
        117
    crepesofwrath  
    OP
       2016-04-15 17:21:54 +08:00 via iPhone
    @ryd994 正要学习... 大部分人缺的就是最基本的,因此很多网站邮箱的两边加个空白字符都不行,这还是高级语言,如果我电路学得好,操作系统,数学,算法都很厉害,,,不知道我这会儿正在知乎回答什么样的问题
    cherrymill
        118
    cherrymill  
       2016-04-26 13:51:16 +08:00
    个人觉得只有在桌面 Linux 上或者入门者才会用 777..无论什么语境下,哪天 apache 爆出个漏洞 Linux 权限这个最后的防线可就帮不了你了
    chujiandefannao
        119
    chujiandefannao  
       2021-08-20 13:57:45 +08:00
    @ivenvd TG 账号甩一个 来个闷声发大财?
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   907 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 20:18 · PVG 04:18 · LAX 12:18 · JFK 15:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.