之前维护的520网站,频繁被注入PHP文件,然后用户通过PHP文件,就可以查看目录、删文件、修改文件等操作。
一,当前用户就是nginx使用的用户。那就意味着,你能用程序干多少事,黑客就能用程序干多少事儿
二,出于安全考虑,应该设置一下文件夹和目录的权限
1、我们首先设定网站目录和文件的所有者和所有组为centos,www,如下命令:
chown -R centos:www /home/centos/web
2、设置网站目录权限为750,750是centos用户对目录拥有读写执行的权限,这样centos用户可以在任何目录下创建文件,用户组有有读执行权限,这样才能进入目录,其它用户没有任何权限。
find -type d -exec chmod 750 {} \;
其中 {} 代表查出来的文件
\; 代表exec的命令结束
如果某个目录下不会产生产生新的文件或者文件夹,其实可以设置为 650
3、设置网站文件权限为640,640指只有centos用户对网站文件有更改的权限,http服务器只有读取文件的权限,无法更改文件,其它用户无任何权限。
find -not -type d -exec chmod 640 {} \;
如果某个文件不许写,可以设置为540
4、针对个别目录设置可写权限。比如网站的一些缓存目录就需要给http服务有写入权限。例如discuz x2的/data/目录就必须要写入权限。
find data -type d -exec chmod 770 {} \; |
