日志目录中的chmod 777安全漏洞?

时间:2012-05-19 00:06:53

标签: php logging permissions chmod

我在共享服务器中托管我的网站,所以我的选择有限。例如,我无权访问the exec function

我的问题是我非常简单的addLog PHP函数需要写入日志文件的权限。我在另一篇文章中读到,在传统的UNIX所有者组 - 其他权限方案中,PHP用户通常被同化为“其他”。

但是,由于我构建了自己的www结构,因此我考虑将./log目录的权限设置为777,以便脚本可以写入必要的日志。

应用程序只需要能够写入日志文件;不需要读取或执行权限。 (我甚至不知道它们在UNIX权限方面是什么)另外,我没有在日志中存储任何数据库信息;但是,我可能会存储堆栈跟踪。

  • 将日志目录的权限设置为777是否存在安全风险?
    除了日志之外,此文件夹中没有任何内容。
  • 此目录是否需要读取和执行权限?
    我只需要在日志中写入(追加)。

1 个答案:

答案 0 :(得分:2)

请记住,应用程序错误可能包含数据库登录信息,查询字符串以及应用程序的文件结构。您可能会从用户和机器人中隐藏某些文件,但这些文件仍在文档根目录中。通过允许共享环境中的任何人(777)查看您自己打开的日志(任何)文件,风险更大。

如果PHP正在编写日志,理论上它也应该能够读取日志。底线是使文件所有者与将要写入文件的用户相同。然后使用适当的权限。

当然,如果您不关心网站上的任何内容是安全的,并且没有数据库连接,那么这无关紧要。

真的取决于共享环境。我看到很难设置共享主机,用户可以通过FTP遍历和查看其他文件/文件夹。共享主机777不是一个好主意。 (最好是安全,而不是抱歉)