設想
我正在為我自己的網站製作一個 WordPress 插件,需要訪問該網站的主.htaccess文件。
透過安裝腳本,我可以修改.htaccessfrom 644,664以允許我的伺服器(apache2)直接寫入.htaccess。
問題
我擔心的是安全性的限制。我是否會面臨一系列潛在的攻擊?如果是這樣,有什麼更好的建議可以讓我的.htaccesswordpress ie 可寫。阿帕契?
編輯
apache2 使用者位於www-data一台伺服器上,但根據主機的設置,它是另一台伺服器上的不同使用者。我需要為此做好準備。
答案1
這是一個老問題,所以我不確定它是否仍然相關,但這是我的看法。
我不認為你想太多,因為,是的,該文件是可寫的。因此,如果伺服器上發生任何可疑的情況 - 例如基於在伺服器上更改/建立檔案的攻擊,攻擊者將更容易危害伺服器或調整可以使用 .htaccess 進行調整的某些設定。
例如,您也可以更改 PHP 設定 - 例如最大檔案上傳大小和執行時間以及您不希望攻擊者更改的許多其他配置值,是嗎? ;)
所以我的看法是 440 它並且總是在生產環境中手動編輯它,因為無論如何都不應該要求經常更改它(當您部署新內容時,您將其更改為所需的設置,僅此而已) 。
然而,在測試/開發環境中,在仔細評估其他安全風險後,例如同一伺服器上還有其他內容(是否有其他包含敏感資料的網站等),您可能希望透過離開來讓開發人員的生活更輕鬆出於開發目的,它的分辨率為660。
相信這是有道理的。 OP現在可能已經解決了這個問題,但我希望它可以幫助其他人遇到這個問題。
答案2
無論您採取什麼措施使該檔案可由 Apache 寫入,該檔案都會由 Apache 寫入。
如果您只需要 Apache 可以變更的一組有限選項,則可以建立一個 setuid 程序,以根據該程式驗證的某些輸入進行這些變更。程式不應設定為 root,而應設定為僅是檔案擁有者的使用者。