现在的位置: 首页 > IT运维 > 正文

Linux安全权限设置

2013年04月04日 IT运维 ⁄ 共 1119字 暂无评论 ⁄ 被围观 955+

Linux安全设置非常相当之重要,刚好前几天朋友问到:对网站目录用root用户权限还是www用户权限,索性就这个问题写写。

首先说下为什么不能直接将网站目录所属用户直接设置为root用户,root用户具备对系统的最高权限,可以对系统任何文件、目录进行更改,一旦用户通过web入侵,即可对网站进行任何更改,不只是改改你网站的首页那种小菜了,甚至rm -rf / ,系统运维人员不希望发生这种事吧。而为了维护方便,我们又不能将root用户设置为禁止登陆nologin,所以从安全角度,网站目录必须使用单独的用户。一般我们在linux下网站目录文件、数据库(MySql或Oracle)目录文件分别设置其用户为www和mysql。

下面分别讲讲Linux安全设置的几个关键步骤:添加用户组及用户、更改目录和文件的所属用户(属主)、设置目录和文件的读写权限:

添加用户组、添加用户

/usr/sbin/groupadd www #添加www用户组
/usr/sbin/useradd -s /sbin/nologin -g www www #在www用户组添加www用户,同时禁止其shell登陆
groupadd mysql #添加mysql用户组
useradd -s /sbin/nologin -M -g mysql mysql #在mysql用户组添加mysql用户,同时禁止其shell登陆

更改目录所属用户

chown -R www:www /data/www
chown -R mysql:mysql /data/mysql

设置目录和文件的读写权限

find /data/www -type d -exec chmod 555 {} \\; #将目标目录对所属用户和其他用户全部设置成只读权限
find /data/www -type f -name "*php" -exec chmod 444 {} \\; #将目标目录下的所有php文件对所属用户和其他用户全部设置成只读权限,当需要设置所有文件可读时,去掉-name "*php"参数即可
chmod 755 /data/www/attachment #对attachment目录设置写入权限
find /data/www/attachmen -type f -exec chmod 644 {} \\; #对attachment目录下文件设置写入权限,即使以前存在的文件,当网站系统需要删除、更新附件文件时仍需属主具备写入权限才能完成,所以还是有必要设置附件文件对属主具备写入权限的。

以上设置读写权限的思路是,先将权限全部设置为最严格权限,然后对所需目录、文件设置必要的写入权限。如果某个目录下的文件需要写入权限,那么它所属的目录也必须对属主有写入权限。

给我留言

您必须 [ 登录 ] 才能发表留言!

×
#