Jede Datei besteht aus einem Berechtigungssatz. Diese Berechtigungen bestehen aus 3 Sätzen von 3 Bits für insgesamt 27 Konfigurationen. Nur ein Scherz! So komplex ist das nicht!
-r--r--r-- root root 1972 Oct 13 23:14 test.mail
-rw-r--r-- admin admin 4345 Aug 29 12:33 test.php
-rwxr-xr-x nobody admin 592 Sep 25 10:20 test.py
drwxrwxrwx admin nobody 4096 Jul 9 10:28 tmp
Werfen wir einen Blick auf die Ausgabe einer FTP-Client. In diesem Beispiel gibt es drei Dateien und 1 Verzeichnis. Ein Verzeichnis, tmp/, bezeichnet mit "d" wird auch als Ordner bezeichnet: ein Ort, an dem Dateien gespeichert werden. Jede Datei hat unterschiedliche Berechtigungen, die unterschiedliche Interaktionen erlauben.
Berechtigungen
Berechtigungen werden in Pakete unterteilt, die aus den Eigenschaften Lesen (r), Schreiben (w) und Ausführen (x) bestehen. Lesen Sie erlaubt den Zugriff zum Lesen von Datei- oder Ordnerinhalten, schreiben. den Zugang zur Änderung der Datei oder zum Entfernen von Dateien innerhalb eines Verzeichnisses erlaubt, und ausführen. erlaubt es der Datei, als Programm zu laufen oder ein Verzeichnis zu öffnen. Fehlt eine Berechtigung, wird sie durch "-" ersetzt.
Hinweis: Ein Verzeichnis konnte nur das Ausführungsrecht (x) haben, aber kein Leserecht (r), und trotzdem für einen Benutzer zugänglich sein. Der Inhalt einer Datei kann nicht aufgelistet werden, aber wenn der Dateiname bekannt ist, kann die Datei geöffnet werden. Dieser Ansatz wird bei Mehrbenutzerkonten empfohlen, um sich gegen das Ausspähen von Dateien zu schützen.
EbensoFehlt in einem Verzeichnis das Ausführungsbit (x), so können weder dieses noch die darin enthaltenen Verzeichnisse geöffnet werden.
Jede Datei oder jedes Verzeichnis besteht aus 3 Chunks, die auf die Datei angewendet werden Eigentümer, Gruppeund alle anderen (einfach als "andere"). Sehen Sie, dass neben jeder Datei zwei Benutzer stehen?
-rw-r--r-- admin admin 4345 Aug 29 12:33 test.phpDiese 2 Felder stellen die Eigentümer und Gruppe zu der die Datei gehört. Eigentümer ist der Benutzer, der die Datei erstellt hat, und Gruppe ist die Gruppe, zu der der Benutzer gehört. "Alle anderen" sind alle anderen, die weder Eigentümer noch Mitglied der Gruppe sind, insbesondere der Webserver, der als Benutzer "apache" in seiner eigenen Gruppe läuft. Nur Benutzer admin kann in die Datei schreiben. Andere Benutzer, die über Benutzer > Benutzer hinzufügen kann die Datei lesen, ebenso wie der Webserver, zusätzlich zum Ersteller, admin.
Jede Datei, die von einem Benutzer Ihres Kontos erstellt wird, gehört der gleichen Gruppe an, die der primäre Benutzername des Kontos ist. Ein spezieller Benutzer "apache" ist jede Datei, die von einer Webanwendung erstellt wird. Berechtigungen werden nachts vergeben, um Änderungen durch den primären Benutzer des Kontos zu ermöglichen. Die Eigentümerschaft kann geändert werden über Dateien > Datei-Manager > Eigenschaften Aktion innerhalb des Bedienfelds.
Die Berechtigungen müssen geändert werden, um einem anderen Benutzer, z. B. einer PHP-Anwendung, den Schreibzugriff auf die Datei zu ermöglichen. Aber vorher sollten Sie sich noch kurz mit der alternativen Form der Darstellung von Berechtigungen beschäftigen...
Oktal-Konvertierung
Berechtigungen können in Mengen- oder Oktalform dargestellt werden. Zuvor wurden die Berechtigungen zum besseren Verständnis in Form von Gruppen dargestellt. Bilden Sie nun jeden Berechtigungstyp ab: [r,w,x] in eine Zahl: [4, 2, 1]. Addieren Sie diese Zahlen für jedes Berechtigungspaket und Sie erhalten eine dreistellige Zahl zwischen 0 und 7, die die Berechtigungen für die Eigentümer, Gruppe, und andere.
-rw----r-- wird 604, drwxr-xr-x wird zu 755, und so weiter. Wenn die Berechtigungen als "777" bezeichnet werden, entspricht dies -rwxrwxrwx.
| 604 Umwandlung | ||||||||
|---|---|---|---|---|---|---|---|---|
| Eigentümer | Gruppe | andere | ||||||
| r | w | – | – | – | – | r | – | – |
| 4 | 2 | 0 | 0 | 0 | 0 | 4 | 0 | 0 |
| 6 | 0 | 4 | ||||||
| 755 Umwandlung | ||||||||
|---|---|---|---|---|---|---|---|---|
| Eigentümer | Gruppe | andere | ||||||
| r | w | x | r | – | x | r | – | x |
| 4 | 2 | 1 | 4 | 0 | 1 | 4 | 0 | 1 |
| 7 | 5 | 5 | ||||||
Permissions from now on will be referred to in octal for brevity.
Ändern von Berechtigungen
Permissions may be edited in a variety of ways:
- FTP client. See FTP access KB article for details
- Web-accessible FTP client via ftp.apnscp.com. Select chmod operation.
- Within the control panel: Dateien > Datei-Manager > Eigenschaften action
- Terminal: chmod
Permissions may be applied to a single file or directory, or recursively to all files and directories within a directory. Files created after changes are applied will not inherit these new permissions and must be reapplied as necessary.
777 Erlaubnis
777 is a simple way to allow every user access to modify, create, and delete files. Often 777 is recommended to allow a PHP application access to create files. Yes, it does work and on Okra Host’ hosting platform is quite secure (PHP undergoes a separate round of security checkpoints), but other users on your account also have access to read, modify, and delete files. It is, therefore, recommended to specify 717 instead of 777 to lockout other users on your account from making adjustments to files. PHP applications will still be able to write to those files – and only those files – explicitly granted by 717 permissions.
Warum mehrere Benutzer verwenden?
Computing power has grown exponentially over the last decade; the cost to crawl a web site and brute-force has decreased. Along with the growth of knowledge, attackers have become more sophisticated carrying out attacks through elaborate botnets consisting of several hundred thousand machines. Common exploitable vectors include weak FTP passwords for other users on your account as well as outdated web applications. These vectors are continuously accessed by unauthorized users throughout the day from thousands of IP addresses that slip below detection thresholds. Such attacks are orchestrated from a single command-and-control sever that command infected machines to periodically try a login/password combination.
A single machine may probe a site 2-5 times per hour (once every 12 minutes). Multiplied out by 10,000 different machines in a botnet, 1,200,000 combinations per day is enough to try every possible 4-letter password combination consisting of lowercase letters and numbers 0-9 in only 1 day or test every known WordPress exploit against 65 different sites each day.
- Attacks do happen, and the level of sophistication is much greater than a decade ago.
- Use separate users to restrict the impact of an unauthorized breach.
- Judiciously apply permissions to only those files that the web server or other users must have access to modify.
Reduce your risk and impact by utilizing multiple users.