אולי לא הבנתי משהו נכון
אבל יצרתי תיקייה מסויימת לפרוייקט שלי, ונתתי לה הרשאות 666 (כי שמעתי ש executable זה בעייתי לתת) ושאני מנסה להיכנס לדף מסויים דרך הדפדפן (שרת apache מנוע php) אני מקבל שגיאה שאין לי הרשאה

קוד:

Access forbidden!

You don't have permission to access the requested object. It is either read-protected or not readable by the server.

If you think this is a server error, please contact the webmaster.

שאני נותן לה 777 הכל עובד בסדר
אז האם באמת 777 זה ההרשאה שצריכה להיות לכל הקבצים והתיקיות שם?
אבל יש לי שגיאה אחרת, אני מנסה לכתוב לקובץ עם imagejpeg לתוך תיקייה שיצרתי דרך מנהל הקבצים
ואע"פ שהגדרתי 777 לכל הקבצים בתיקייה של הפרוייקט אני מקבל את השגיאה הבאה:

קוד:

imagejpeg(/opt/lampp/htdocs/gif/GifImages/58f272ba92d19/0.jpg): failed to open stream: Permission denied

אני יוצר תיקייה בתוך תיקיית הפרוייקט באמצעות php ולשם אני מנסה לכתוב קבצים
בהתחלה נתתי לה 666 ואחרי זה ניסיתי 777 אבל עדיין לא עזר

מה צריך לעשות?

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

7 על ספריה פירושה שמותר להיכנס לספריה

אם אי אפשר להיכנס לספריה, אי אפשר לקרוא את הקבצים שבתוכה (שלא כמו בחלונות, שם אתה יכול לקרוא קבצים בתתי ספריה גם אם אין לך הרשאה על הספריות שמעליה; שזה מטורף, אי אפשר להבטיח הרשאות גישה בלי לסרוק כל קובץ וכל קובץ בכל עץ הקבצים שיכול להיות עצום!)

קבצים שהם רק לקריאה צריכים להיות 644 או אפילו 640 אם במקרה הקבוצה המוגדרת עליהם היא זו של השרת (כי אז אתה מאפשר גישה רק לשרת אבל לא להתליכים אחרים במערכת). לספריות - 755 (או 750, כנ"ל, בהתאמה)

אם התהליך של php (שיכול להיות apache עצמו או תהליך php חיצוני, תלוי אם אתה עובר עם fastcgi או לא) לא יכול ליצור קבצים בספריה, אתה תקבל שגיאה ביצירת קובץ. כדי שהוא יוכל לעשות את זה, צריכה להיות הרשאת 7 רלוונטית. אם כאמור הקבוצה של הספריה היא כמו התהליך שיוצר את הקבצים, אז 770 יספיק. אחרת, אם התהליך הוא זר, תאלץ לאפשר לכולם הרשאה לכתוב, על ידי 777 על הספריה. קח בחשבון שאותו תהליך שכותב חייב להיות מסוגל כאמור להיכנס לכל הספריות שמעל הספריה הזו - כלומר כל הספריות שמעל צריכות להיות 755 או 750 (אם הקבוצה מתאימה), לפחות.

כשאני אומר שהספרה הראשונה "חייבת" להיות 7, זה לא באמת נכון. זה חובה רק אם רוצים שהמשתמש שהוא הבעלים של הספריה יוכל "לשחק" בה חופשי. אם זה לא המצב, אז הספרה הראשונה לא משנה...

נמאס לכם לזכור סיסמאות? לחצו כאן!

סבבה, בסוף שמתי 666 על הקבצים כי יש קבצים שצריכים כתיבה
אבל בכל מקרה זה עכשיו זורק לי שגיאת הרשאות על ה mkdir
איזה הרשאות צריכות להיות לקובץ? או לתיקייה הנכתבת כדי שיהיה אפשר לייצר בתוכה תיקייה

שעשיתי 755 על התיקיות זה נתן לי הרשאת גישה, אבל בגלל שהייתי צריך לכתוב לתוכה ניסיתי לעשות 766 ושוב פעם זרק לי שגיאה שניסיתי להיכנס לתיקייה דרך הדפדפן
אז נתתי 777
למה 755 עובד ו 766 לא? והאם אני צודק במה שעשיתי?

בכל מקרה גם עם מה שאמרת זה עדיין זורק לי את השגיאה

קוד:

imagejpeg(/opt/lampp/htdocs/gif/GifImages/58f27aeddc354/0.jpg): failed to open stream: Permission denied

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

הסברתי לך שצריך execute כדי להיכנס לספריה ו write כדי לכתוב קבצים חדשים או למחוק אותם (שהרי אתה משנה את הספריה)

6 זה קריאה, כתיבה, בלי execute. זה ש 6 לא עובד זו התנהגות תקינה לחלוטין, כמצופה.

755 יעבוד כך שכולם יוכלו לקרוא ורק ה owner יוכל גם לכתוב/לשנות/למחוק. אם המשתמש שאיתו אתה מנסה לכתוב הוא לא ה owner, אז שוב, התנהגות תקינה לחלוטין שהוא ייכשל בכתיבה, כי יש לו רק 5 שזה כניסה לספריה וקריאה.

נמאס לכם לזכור סיסמאות? לחצו כאן!

כן תודה קלטתי אחרי כמה פעמים שזו הבעיה

אבל בכל מקרה זה עושה לי בעיות ההרשאות האלו
הרי אני והמשתמש של השרת הם שונים
אם אני משנה את ה owner ושם 644 אני מקבל שגיאה שאני מנסה לערוך אותו
האם יש הבדל בהרשאות מתי שזה על שרת ביתי בזמן פיתוח לבין שרת מרוחק בסביבת ייצור?

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

אז אתה יכול להשאיר את ה owner ולשנות את ה group ל group שלך.

הבדל בין בית לפרודקשן? לא יודע. אם תעשה שיהיה הבדל, אז יהיה. ואם לא, אז לא. זה לא שדברים קורים אחרת "כי זה פרודקשן" - אין דגל כזה בלינוקס שאומר "זה בית" / "זה פרודקשן" - זה לא חלונות שיש גירסה רגילה וגירסת Server.

נמאס לכם לזכור סיסמאות? לחצו כאן!

כן אבל אז מה הרווחנו בזה?

לפי מה שהבנתי מהודעתך הראשונה , הסיבה לתת לקבצים ולתיקיות הרשאות מוגבלות זה כדי שלתהליכים אחרים לא תהיה גישה אליהם, אם יש בעיית אבטחה אשמח לדעת (בהמשך לשאלתי בהודעה למטה).
ואם אני אגדיר לקבצים את הקבוצה שלי ו owner שרת אז כל תהליך שאני מריץ יוכל לגשת לקבצים לא? כי הוא בעצם רץ דרך המשתמש שלי

אמנם אין דגל כזה, אבל האם לא זו צריכה להיות ההתנהגות?
כי כמו שציינתי מקודם בפיתוח אני צריך לערוך את הקבצים ובפרודקשן הקבצים רק צריכים לרוץ
אז אולי כן צריך לייצר הבדל..

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

השיטה לעבוד בד"כ היא שכל מערכת "נפרדת" בשרת רצה תחת משתמש של עצמה, ויכולה לגשת רק למקומות שהוגדרו לה. בכך, אם יש בה באג, מערכת ההפעלה עוזרת לך בכך שהיא מונעת כתיבה (ואף קריאה) לכל מקום שהוא לא המקומות האלה. למשל, פריצה לאפליקציה לא תאפשר לקרוא את הקבצים של mysql, שרץ במשתמש אחר שרק לו יש הרשאות לקרוא את קבצי מסד הנתונים. כמובן, שאם למשתמש ה mysql שמוגדר באפליקציה שלך יש הרשאות לעשות הכל במסד הנתונים, זה חסר ערך כי הפורץ יכול להשתמש פשוט בהרשאות של האפליקציה ככל העולה על רוחו. לכן, אם אתה ממש מקפיד, אתה יוצר משתמשים שונים למסד הנתונים, שכל אחד יכול לבצע רק מה שהוא צריך, וגם דואג להפריד את חלקי האפליקציה כך שלא כולם משתמשים באותו משתמש של מסד הנתונים (ולא יכולים לקרוא את פרטי המשתמש אחד של השני), ושוקד על האבטחה הכי הרבה בחלקים שיש להם גישה בעלת הפוטנציאל הגבוה ביותר לנזק - ורק הרבה על כל שאר החלקים של האפליקציה.

העובדה שלמשתמש שלך יש גישה לשנות את הקבצים האלה, לא מוסיפה ולא מורידה, מכיוון שהמשתמש שלך לא מריץ אף תוכנה שפורץ יגש אליה (ואם הוא כן, כנראה שלא עשית מה שכתבתי בפיסקה הקודמת). אבל כן, יש כאן אלמנט של נוחות. אני אישית עושה אחרת - כי לא איכפת לי מאי הנוחות של עצמי ואני גם רוצה להיות בטוח. אני מעלה את הקבצים לשרת כמשתמש רגיל, ואז, מתוך root, מעביר אותם אל היעד הרצוי. למשתמש הרגיל שלי אין הרשאה לכתוב לשום מקום חוץ מלספרית הבית שלי (ול tmp/, היכן שלכל המשתמשים יש הרשאת כתיבה)

אגב, אני לא חושב שאפשר ללמוד אבטחת מידע בהתכתבות - זה עולם גדול מאוד ואני לא מתכוון לכסות את כולו. אם זה חשוב לך (וזה צריך להיות חשוב לכל מי שמריץ אתר ששלומו חשוב למריץ) - אתה צריך ללמוד את הנושא בצורה מסודרת, לדעתי.

נמאס לכם לזכור סיסמאות? לחצו כאן!

לא הבנתי הכל
אבל לא אמשיך להטריד אותך
שיהיה לי זמן אני אשב אלמד את הנושא

תודה בכל מקרה על כל העזרה

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

שימי תוכל להתייחס לשאלתי הקודמת?

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

הסתכלתי ואני ה owner של הקבצים בתיקייה של הפרוייקט ולא השרת
איך אני יודע מה הקבוצה ושם המשתמש של השרת בשביל לתת לו הרשאות?

עריכה, שיניתי את ה owner
אבל התיקייה שאני יוצר עם php נוצרת לי בלי הרשאות למרות שה defualt הוא 0777, מה יכולה להיות הבעיה?

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

מה זה דיפולט? לא מכיר.

השרת רץ ביוזר שאומרים לו לרוץ. אתה תוכל לראות באיזה יוזר הוא רץ באמצעות קריאת הטור הראשון בפלט של הפקודה ps auxf. כדי לדעת את הקבוצות שהמשתמש הזה חבר בהן, אחרי שיש לך את שם המשתמש, אתה מריץ id username. לדוגמה id nginx או id httpd או id apache.

אתה מתכוון ל umask? אם כן, umask בד"כ לא נראה כמו 0777, לא בברירת מחדל בכל אופן.

אגב, אתה יכול גם לא לסמוך על זה ופשוט להשתמש ב chmod מתוך שפת התכנות שלך - זה מה שאני עושה - ואז אתה מגיע לתוצאה שהיא בטוח מה שאתה מצפה.

נמאס לכם לזכור סיסמאות? לחצו כאן!

יש ערך ברירת מחדל ל mkdir להרשאות של התיקייה, והוא 0777
http://php.net/manual/en/function.mkdir.php

בכל מקרה גם עם chmod זה לא עזר , רק שנתתי הרשאות 777 לכל הקבצים והתיקיות

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

טוב, אני תמיד כתבתי את ההרשאות אז לא הגעתי לבעייה הזו (בהנחה שהתיעוד נכון, אין לי זמן כרגע לבדוק). הדיפולט הזה ממש טפשי אם הוא נכון - זו בעיית אבטחה אפילו אם עושים chmod אחר כך משום שאפשר לנצח את זה עם race condition בין שתי הפעולות בהנתן מספיק נסיונות.

בכל מקרה, פשוט תציין את ההרשאות שאתה רוצה. אל תשכח 0 לפני 3 המספרים...

נמאס לכם לזכור סיסמאות? לחצו כאן!

שוב זה עבד דיפולטיבי ברגע ששיניתי את ההרשאות של הקובץ המייצר ל 777

אבל ברשותך אשאל שאלה, מה הבעיית אבטחה שיכולה להיווצר מזה שלקבצים ולתיקיות יש הרשאות 777?
זה לא שלמישהו יש גישה לשרת...

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

אם בקוד שלך אין באגים וגם באף אחד מהדברים שרץ בשרת ויכול לגרום לו לנסות לכתוב קבצים אין באגים, אז אין בעיית אבטחה.

אם אתה סומך על תשובה שלילית ל"אם" שהצגתי, אתה לא עושה דבר חכם, לדעתי.

נמאס לכם לזכור סיסמאות? לחצו כאן!