在一个需要写访问(Wordpress)的应用程序的私有服务器上,将Apache的web用户(www-data)添加到拥有/ var / www的“developers”组或者使用fastcgi / suphp来升级权限会更好吗?
注意:“开发者”组中的唯一用户是pipe理员。 如果使用组解决scheme(上图),权限将需要775个文件夹和664个文件。
你不想给Apache更多的特权。 找出apache需要写入的最小的目录集,给它访问这些目录,然后尝试限制apache愿意对这些目录做什么。 如果它是一个图像目录,你希望wordpress能够添加图像,apache服务器不应该愿意从该目录运行php脚本,只是提供静态图像。 这里有一件事是你想要防止的:不知何故,一个错误的行为者可以访问一个WordPress的login,他们上传的东西应该是一个图像,但实际上是一个PHP脚本。 你不希望他们能够然后去http://yoursite.com/wp-images/bad.gif和实际上运行Apache作为一个PHP脚本(因为现在他们得到上传任意代码到您的服务器并让你的服务器运行该代码)。
如果您正试图决定是否将开发人员添加到www-data组中或以其他方式进行添加,请考虑这种方式。 开发人员是您信任的人在您的网站上运行代码。 www-data组是给予那些想在wordpress / apache /其他方面利用漏洞的人的特权。 你不想给这些人一个你信任的开发人员的访问权限。 你应该没有问题,让你可信的开发者有权利,你愿意给谁已经妥协了你的WordPress的安装。 因此,将开发人员添加到www数据中,但不要将www数据添加到开发人员。