我正在尝试启动并运行一些内容pipe理系统。 但是我对他们有安全顾虑
1)请参阅下面的链接http://www.dokeos.com/doc/installation_guide.html第2节说以下目录需要是每个人都可读,可写和可执行的:
我不是很高兴有这样的目录是可读,可写和可执行的每一个想法。
2) http://doc.claroline.net/en/index.php/Install_general_information
文件夹权限说
“如果您不想在整个文件夹上设置写入权限(出于安全原因而build议),请向Web服务器用户授予对这些文件夹的写权限:”
这是推荐的做法吗?
3)另外另一个LMS(学习pipe理系统),当安装要求给一些文件夹可写和可执行的每一个这里是一个链接http://atutor.ca/atutor/docs/installation.php在安装时,我收到一条消息
“The directory you specify must be created if it does not already exist并可由networking服务器写入。 在Unix机器上发出命令chmod a + rwx内容,另外该path可能不包含任何符号链接。 chmod a + rwx / var / www / atutor / content“
4)另一个LMS docebolms要求给予写入权限
files/doceboCore/photo files/common/users files/doceboLms/course files/doceboLms/forum files/doceboLms/item files/doceboLms/message files/doceboLms/project files/doceboLms/scorm files/doceboLms/test
我检查了它的文档http://www.docebo.org/doceboCms/index.php?mn=docs&op=docsπ=5_4&folder=7,但没有那么有用。
这些学习pipe理系统所说的,我完全不相信给予读,写和执行权限的想法。 让我知道你们有什么要说的? 在这种情况下最好的做法是什么?
你说得对,很多应用程序供应商诉诸于你需要授予每个用户全部的权限,以避免出现问题。 他们这样做是为了尽量减less支持电话,而不是最大限度地提高安全性
Web服务器帐户需要对某些目录进行写入访问才能存储上载或生成的文件,这是有道理的。 在Unix中需要对目录执行访问权限才能使用户枚举目录的内容,这也是必要的。
最终,你想要的是运行Web服务器进程的用户帐户(如果你在Ubuntu上使用打包的Web服务器,很可能是www-data )拥有有问题的文件夹,然后是755(rwxr -xr-x)就足够了,或者如果你与其他不信任的用户共享一个系统,你需要700(rwx ——)。
所以,在你的第一个例子中,假设这些目录已经存在,你需要这样做:
$ sudo chown -R www-data:www-data dokeos/main/inc/conf/ dokeos/main/upload/users/ dokeos/main/default_course_document/ dokeos/archive/ dokeos/courses/ dokeos/home/ $ sudo chmod 755 dokeos/main/inc/conf/ dokeos/main/upload/users/ dokeos/main/default_course_document/ dokeos/archive/ dokeos/courses/ dokeos/home/
同样,如果您在共享系统上,则可能希望在第二行中将“755”replace为“700”。 如果您知道www-data不是运行Web服务器的用户,请用正确的值replace该项目。 您也可以在第二个系统的目录上运行相同的两个命令。 在这两种情况下,写入访问可能都是必要的,但仅限于运行Web服务器的单个用户, 而不是所有人 。
祝你好运。