Linux 正确设置站点权限

目的:为了保证网站不遭受木马入侵上传及修改文件。

相对安全的权限:

1、站点内所有目录和文件的用户和组都应该是root
2、所有目录权限默认的755
3、所有文件权限默认的644 (不能改文件)

1+2,网站服务用户(nginx)不能往目录里面写文件,即nginx用户就不能在里面写文件了,木马就杜绝了。
注意:网站服务的程序使用的用户不能用root,可以用nginx

以上权限设置可以防止木马,但是用户上传的内容也被拒之门外,怎么设置让正常客户端上传文件?
解决方法:

1、大多数网站做法 chown -R nginx.nginx /data(站点目录)  比较危险的。
2、找到上传的目录,授权nginx可以访问,这时比较安全的做法。
3、架构上做优化(对业务做读写分离)
动态web集群只负责:帖子和博文的发布和存取,上传后直接跳转到上传的服务器,上传服务器把图片文件放到存储服务器
4、mount安全参数或者放到/etc/fstab
mount -o nosuid.noexec,nodev 

站点目录及URL访问控制

location ~ ^/images/.*\.(php|php5)$ {
    deny all;
} 
location ~ ^/static/.*\.(php|php5)$ {
    deny all;
} 
location ~* ^/data/(attachment|avatar).*\.(php|php5)$ {
    deny all;
} 

attachment|avatar(附件|头像)

你可能感兴趣的:(web服务,防火墙知识)