Права на файлы/папки. Какие лучше ставить?

кто вам это сказал?

загруженный куда либо шелл-скрипт дает полный доступ к файлам аккаунта, права не помогут...

"Не закрываю входную дверь. Как расположить мебель в комнате, чтобы её не украли?"

Поправка - зависит от настроек сервера.

лол, што? 😂

ппц

доступ куда-либо зависит от прав

веб-шелл запускается от имени специального пользователя от которого веб-сервер запускает скрипты - например www-data

этот отдельный пользователь специально создан для того, что бы от его имени в системе ничего нельзя было сделать - даже посмотреть файлов если там не стоит r для всех или группы (часто основного пользователя добавляют в одну группу с www-data). это реализовано путем "проксирования" прав - вебсервер имея права рута или какой-то группы файлы одних запускает с правами других

у "шелла" созданного из под www-data (например через уязвимость или загруженного в веб-админке) по умолчанию доступа нет никуда кроме файлов, которые созданы так же из под www-data (например файлы какого-нибудь кэша) которые ещё что бы найти надо иметь доступ к индексу ("папкам"), а его так же нет :)

таким образом реализована по умолчанию достаточно серьезная защита обойти которую просто невозможно, если система не имеет других уязвимостей, позволяющих поднять права

у веб-шелла доступ есть только к шеллу - поэтому он шеллом-то и называется ))) но как бы не так: некоторые нерадивые вебмастера (возможно начитавшись советов от kgtu5) ставят на файлы r для группы или для всех тем самым открывая файлы для www-data и, соответственно, "шелла". а часто и w ставят, что дает возможность изменять файлы

и это плохо, я бы сказал даже плачевно

при таких отличных средствах защиты, уже предустановленных и в систему и в веб-сервер, такая ужасная статистика

хаккеры просто не нарадуются: не надо брутить фтп из сервера, не надо бекдорить или поднимать права: залил вебшел и прям из под него можно изменять сайты

и всё из за таких как Вы, kgtu5, да 🙅 😂

что это?? куда катится мир 😂

---------- Добавлено 24.05.2015 в 12:06 ----------

по сабжу:

ставьте rw- --x --- (600) на файлы php

rwx --x --x (711) на директории

rw- r-- r-- (644) на статику

На самом деле так уже не делают в современном виртуальном хостинге. Пользователь www-data ведь один на всех.

Наоборот, сломав соседний сайт сайт можно было прочитать и записать файлы , которые созданы для работы с этим www-data.

А еще подобная настройка приводила к повсеместному использованию магического заклинания chmod 777 , которое безопасность совсем не улучшало.

netwind, конечно, а ещё я слышал, что аборт - современное средство контрацепции, да

и как же www-data приводит к "прочтению" файлов соседнего аккаунта которые другого пользователя? :)

и как приводило к использованию 777?

мда, я начинаю понимать причины печали...

мне кажется, что виртуальный хостинг подразумевает каждому по персональному пользователю апача отличного от домашнего пользователя

возможно некоторые "хостеры", что бы не парится, запускают апач виртуала из под его хоум пользователя

но это никак не вина виртуализации

---------- Добавлено 24.05.2015 в 13:21 ----------

хотя ладно, не буду спорить

никогда не имел дело ни с каким "хостингом" поэтому даже не знаю

возможно, да, виноваты не вебмастера, а хостеры, которые в погоне за баблом все упрощают..

RiDDi, что это?!! Я тебя не узнаю. Такое ощущение что ты 3-й день не просыхаешь.

давать юзеровским скриптам www-data, который один на всех? И при этом он не имеет доступа к другим? 😮

И ты не слышал о взломе всех юзелов хостинга как раз по этой причине?

А шел потому шелл, что только к себе может обратиться, а не потому что это веб консоль с огромными возможностями?

Блин, ну ты даёшь.

Я даже всего не осилил..

Виртуальный хостинг, как его понимают тут, появился задолго до разгула виртуализации. Этимология названия скорее связана с директивой VirtualHost. А называть следовало бы массовый хостинг.

Вообще, по два пользователя на аккаунт было бы интересной идеей, но ее вроде нигде не используют. Массовый хостинг деньги зарабатывает и старается прежде всего минимизировать обращения в техподдержку. В том числе за счет минимизации проблем связанных с расстановкой прав. Я думаю, не взлетит.

А open_basedir на что?

А знаешь сколько хостеров у которых не настроены темповые директории? ;) (это намёк, если что)