Bezpiecze

[goska_23]

Chodzi o strony www zrobione na serwerze LAMP na Debianie Lenny.
Strony są w:
[INDENT] /var/www/mojastrona1
/var/www/mojastrona2[/INDENT]
Strony działają na CMS-ie Word Press.
Chodzi teraz, żeby podstrony edytowali zwykli użytkownicy bez pomocy webmastera.

Z edycją tekstu na podstronach nie ma problemu - przy prawach dostępu wszystkich katalogów strony ustawionych na 755 i wszystkich plików na 744. Z panelu administracyjnego CMS-a można edytować i zapisywać tekst podstron, gdyż zawartość ta trzymana jest w bazie MySQL od tego CMS-a.

Problem jest z dodawanie do CMS-a i publikowaniem na stronie nowo dodanych obrazków typu .jpg i załączników .pdf przez zwykłych użytkowników całkowicie samodzielnie, którzy domagają się tego, a zwłaszcza szefostwo.

Do wgrywania plików graficznych w Word Pressie, z jego panelu administracyjnego, przez zwykłych użytkowników służy katalog:
[INDENT]var/www/mojastrona1/wp-content/gallery[/INDENT]któremu jednak trzeba nadać prawa dostępu 777, żeby dało się do niego dodawać te pliki z poziomu tego panelu administracyjnego CMS-a.

Jako webmaster - to co ja uzupełniam na stronie w zakresie obrazków i załączników
- to wrzucam to z poziomu Linuxa przy prawach do katalogów 755 i ustawiam właściciela dodanych plików na:

Kod: Zaznacz cały

root:root

(przy innych właścicielach np. w Internet Explorerze8 miałam problem z prawidłowym wyświetleniem obrazków).

Zastanawiam się, co jest z bezpieczeństwem tych katalogów:
[INDENT] var/www/mojastrona1/wp-content/gallery [/INDENT]jeżeli je otworzę na prawach dostępu 777 i chciałabym tutaj uzyskać jakąś poradę.

Nie jestem pewna, czy jeśli ustawię podkatalog z[INDENT] /var/www/mojastrona1[/INDENT] z prawami dostępu 777 to, czy z internetu dowolny użytkownik może do tego katalogu dodawać jakieś pliki, zmodyfikować lub usunąć istniejące? Czy ten katalog z prawami dostępu 777 jest tak udostępniony dla wszystkich jak ftp z dostępem z użytkownika anonimowego bez hasła?
Jeśli pliki z katalogu /gallery mogą być usunięte przez kogokolwiek to może to mieć skutek, że umieszczone na podstronach linki do obrazków z katalogu ../gallery nie będą działały, bo obrazków tam nie będzie albo ktoś dla żartu podmieni zawartość obrazka.

Czy ktoś może miał taki problem, że użytkownicy sami dodawali obrazki na stronę www i w jakiś inny sposób rozwiązał problem zapisu plików i bezpieczeństwa podkatalogów strony.

[Yampress]

Każdy skrypt ma opis jakie prawa należy nadać poszczególnemu plikowi/katalogowi. 777 na katalog z plikami graficznymi to chyba standardowe ustawienie w takich skryptach

[grum]

Nie znam się na bezpieczeństwie serwerów. Nie powinno mieć to wpływu na bezpieczeństwo i chyba nie ma, ale jest taka zasada, żeby nie przydzielać uprawnień jeśli nie jest to konieczne. Ja bym dał apache uprawnienia do zapisu i odczytu, bez prawa do wykonania.