我正在使用新的 PHP Laravel 框架安装,我注意到公共目录中所有文件和文件夹的所有权已递归更改为 Web 服务器用户www-data。以下是公用文件夹的文件和所有权的概述:
vagrant@dev:/laravel-app/public$ ls -al
total 20
drwxr-xr-x 2 www-data www-data 4096 Aug 10 09:19 .
drwxr-xr-x 12 www-data www-data 4096 Sep 15 10:39 ..
-rw-r--r-- 1 www-data www-data 0 Aug 10 09:19 favicon.ico
-rw-r--r-- 1 www-data www-data 603 Aug 10 09:19 .htaccess
-rw-r--r-- 1 www-data www-data 1710 Aug 10 09:19 index.php
-rw-r--r-- 1 www-data www-data 24 Aug 10 09:19 robots.txt
我是否需要删除“可写”权限以使应用程序文件结构更安全?
不。嗯,有点像。有时候也是没办法的事。但你使用的是 Larvel,所以答案是否定的。
为什么我们不想让源代码文件可写:
一般来说,网络服务器不应写入这些文件,因为它会显着降低您的攻击面以及黑客可能造成的最大损害。例如,即使用户以某种方式利用您的插件之一中的安全缺陷来上传文件,如果网络服务器本身,他们也无法上传带有
index.phpkeyloggerjavascript-based bitcoin miner为什么我们可能希望允许源代码文件可写:
但是。如果某些 CMS 没有写访问权限,它们会感到恼火。例如,Wordpress有一个非常用户友好的
Install updates例如,Drupal 使用名为
composer(Wordpress同意我们不能总是期望每个网络管理员都知道如何通过 SSH 连接到服务器,因此它只是为了用户友好的更新而接受增加的安全风险。)
例外:
也就是说,许多 CMS,例如 Wordpress 或 Drupal,允许管理员上传文件(例如图像或 pdf)。对于这些 CMS,服务器应该有一个名为
uploads有时他们还需要能够写入其他文件夹,例如
caching每种类型的网站都会有稍微不同的目录,所以一般来说,您可以询问谷歌您的网站的正确权限应该是什么。
底线,对于 Laravel:
Laravel 通过 Composer 运行更新,这意味着您将运行更新。所以不,您的网络服务器不需要写访问权限。正确的权限是:
用户:
YourUsernamewww-data目录:
2755644但是,
cachestorage2775664这应该可以做到:
cd /path/to/laravel-project/
sudo chown -r YourUsername:www-data .
sudo find ./ -type f -exec chmod 644 {} \;
sudo find ./ -type d -exec chmod 2755 {} \;
sudo chmod -R g+w storage/
sudo chmod -R g+w bootstrap/cache/