目的:为了保证网站不遭受木马入侵上传及修改文件。
相对安全的权限:
1、站点内所有目录和文件的用户和组都应该是root
2、所有目录权限默认的755
3、所有文件权限默认的644 (不能改文件)
1+2,网站服务用户(nginx)不能往目录里面写文件,即nginx用户就不能在里面写文件了,木马就杜绝了。 注意:网站服务的程序使用的用户不能用root,可以用nginx
以上权限设置可以防止木马,但是用户上传的内容也被拒之门外,怎么设置让正常客户端上传文件? 解决方法:
1、大多数网站做法 chown -
R nginx.nginx /
data(站点目录) 比较危险的。
2、找到上传的目录,授权nginx可以访问,这时比较安全的做法。
3、架构上做优化(对业务做读写分离)
动态web集群只负责:帖子和博文的发布和存取,上传后直接跳转到上传的服务器,上传服务器把图片文件放到存储服务器
4、mount安全参数或者放到/etc/fstab
mount -o nosuid.noexec,nodev
站点目录及URL访问控制
location ~ ^
/images/.*\.(php|php5)
$ {
deny all;
}
location ~ ^
/static/.*\.(php|php5)
$ {
deny all;
}
location ~* ^
/data/(attachment|avatar).*\.(php|php5)
$ {
deny all;
}
attachment|avatar(附件|头像)
