Questions tagged «permissions»

这是关于Linux Web服务器上文件权限的规范问题。 我有一台运行Apache2的Linux Web服务器，该服务器承载多个网站。每个网站在/ var / www /中都有自己的文件夹。 /var/www/contoso.com/ /var/www/contoso.net/ /var/www/fabrikam.com/ 基本目录/ var / www /由root：root拥有。Apache作为www-data：www-data运行。Fabrikam网站由两个开发人员Alice和Bob维护。这两个Contoso网站均由一名开发人员Eve维护。所有网站都允许用户上传图像。如果网站遭到入侵，则影响应尽可能有限。 我想知道设置权限的最佳方法，以便Apache可以提供内容，使网站免受攻击，并且开发人员仍可以进行更改。其中一个网站的结构如下： /var/www/fabrikam.com /cache /modules /styles /uploads /index.php 应如何在这些目录和文件上设置权限？我读过某个地方，您永远不应在网站上使用777权限，但我不明白这可能会导致什么问题。在繁忙时段，网站会自动缓存某些页面并将结果存储在缓存文件夹中。网站访问者提交的所有内容均保存到上载文件夹中。

309 linux  apache-2.2  security  web-server  permissions 

这是关于文件许可权以及777 为什么具有“破坏性” 的典型问题。 我没有问如何解决此问题，因为在Server Fault（重新安装OS）上已经有大量的参考文献。为什么它会做些破坏性的事情？ 如果您曾经运行过此命令，则几乎可以立即破坏操作系统。我不清楚为什么取消限制会对现有流程产生任何影响。例如，如果我没有读取权限，并且在终端中快速键入错误后突然有了访问权限，那为什么会导致Linux崩溃？

255 linux  permissions  chmod 

我在登台服务器上有一个Git存储库，需要多个开发人员才能将其存储到。git-init似乎有一个非常接近我要寻找的标志：--shared，除了我也希望多人同时访问该存储库。的git-clone的--shared标志做完全不同的事情。 更改现有存储库权限的最简单方法是什么？

216 permissions  git  users  share 

我刚刚将Apache服务器更新为在Ubuntu 13.04下运行的Apache / 2.4.6。我曾经有一个虚拟主机文件，其中包含以下内容： <Directory "/home/john/development/foobar/web"> AllowOverride All </Directory> 但是当我跑步时，我得到了“禁止。您无权访问/” 经过一番谷歌搜索后，我发现要使我的网站再次运行，我需要添加以下行“ Require all grant”，以便我的虚拟主机看起来像这样： <Directory "/home/john/development/foobar/web"> AllowOverride All Require all granted </Directory> 我想知道这是否“安全”，并且不会带来任何安全问题。我在Apache的页面上读到，它“模仿了以前由'允许所有人'和'拒绝所有人'指令提供的功能。此提供程序可以采用'granted'或'denied'两个参数之一。示例将授予或拒绝访问所有请求。” 但是它并没有说这是否是某种安全问题，还是为什么我们现在不得不在过去不必这样做时这样做。

95 apache-2.2  apache-2.4  permissions  access-control-list 

我们正在尝试通过Cloudfront分发S3存储桶，但是由于某些原因，唯一的响应就是一个AccessDenied XML文档，如下所示： <Error> <Code>AccessDenied</Code> <Message>Access Denied</Message> <RequestId>89F25EB47DDA64D5</RequestId> <HostId>Z2xAduhEswbdBqTB/cgCggm/jVG24dPZjy1GScs9ak0w95rF4I0SnDnJrUKHHQC</HostId> </Error> 这是我们正在使用的设置： 这是水桶的政策 { "Version": "2008-10-17", "Id": "PolicyForCloudFrontPrivateContent", "Statement": [ { "Sid": "1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity *********" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::x***-logos/*" } ] }

91 permissions  amazon-web-services  amazon-s3  amazon-cloudfront 

是否有一个班轮，授予SELECT权限给新用户的PostgreSQL？ 可以实现以下伪代码的东西： GRANT SELECT ON TABLE * TO my_new_user;

86 permissions  sql  postgresql  user-management 

我觉得这是一个愚蠢的问题，但这是我一段时间以来一直想知道的事情。 我有一个VPS，这是我的第一个大型Linux项目。我是唯一可以访问它的人。我的问题是，仅以root身份登录而不是创建帐户并为他们提供sudo访问权限有什么问题？如果sudoer可以做root可以做的所有事情，那有什么区别？如果黑客可以将我的密码破解到我的标准非root帐户，那么他也可以执行sudo命令，那么黑客破解我的root帐户又有多大作用呢？

83 linux  ssh  permissions 

在过去的几个月中，我一直在学习Linux（Fedora 10，然后是11）（并且非常享受它-就像是重新发现计算机，要学习的东西很多）。 我已将用户添加到/ etc / sudoers文件的最后一行，如下所示，以便在执行sudo命令时不会询问我的密码： MyUserName ALL =（全部）NOPASSWD：全部 现在，每次我使用sudo执行命令时，它都会在实际执行任务之前暂停一段明显的时间（约10秒）。为什么会这样，我该如何解决？我在Fedora 11 x86 64上运行Sudo 1.7.1版。

83 linux  permissions  sudo 

我知道我可以通过以下简单方式设置用户权限： grant all on [database name].[table name] to [user name]@[host name]; 但是，我如何看到现有特权？ 我需要查看类似于赠款中使用的数据。换句话说，我想知道给定的用户可以从给定的主机对给定的数据库的给定表进行访问。 我怎么才能得到它？

69 mysql  users  permissions 

更新摘要 / var / www目录归root:root其所有，这意味着没有人可以使用它，并且它完全没有用。由于我们都希望Web服务器能够正常工作（并且没有人应该以“ root”身份登录），因此我们需要修复此问题。 只有两个实体需要访问。 PHP / Perl / Ruby / Python都需要访问文件夹和文件，因为它们创建了很多文件夹（即/uploads/）。这些脚本语言应该在nginx或apache下运行（或者甚至在其他类似PHP的FastCGI）下运行。 开发商 他们如何获得访问权限？我知道有人在某个地方做过此事。然而，有数十亿个网站存在，您会认为将会有更多有关此主题的信息。 我知道777对所有者/组/其他拥有完全的读取/写入/执行权限。因此，这似乎并不需要正确，因为它赋予了随机用户完全的权限。 需要使用什么权限，/var/www以便： 像git或svn这样的源代码控制 像“网站”这样的组中的用户（甚至添加到“ www-data”中） 像apache或lighthttpd这样的服务器 和PHP / Perl / Ruby 都可以在那里读取，创建和运行文件（和目录）吗？ 如果我是正确的话，Ruby和PHP脚本不会直接“执行”，而是传递给解释器。因此，无需对/var/www...中的文件具有执行权限？因此，似乎正确的许可chmod -R 1660将使 这四个实体可共享的所有文件 所有文件均不可错误执行 完全阻止其他人进入目录 将以后所有文件的权限模式设置为“粘滞” 这个对吗？ 更新1：我只是意识到文件和目录可能需要不同的权限-上面我在谈论文件，因此我不确定目录权限是什么。 更新2：文件夹结构/var/www发生了巨大变化，因为上述四个实体之一总是添加（有时是删除）许多级别的文件夹和子文件夹。他们还创建和删除其他3个实体可能需要读/写访问权限的文件。因此，权限需要对文件和目录执行以上四项操作。由于它们都不需要执行许可（请参阅上面有关ruby / php的问题），我将假定rw-rw-r--许可将是所有需要的并且完全安全，因为这四个实体是由受信任的人员（请参阅＃2）和所有其他用户运行的系统只有读取权限。 更新3：这是用于个人开发计算机和私人公司服务器。没有像共享主机这样的随机“网络客户”。 更新4： slicehost的这篇文章似乎最能解释为www文件夹设置权限所需的内容。但是，我不确定运行PHP或svn / git的哪个用户或组apache / nginx以及如何更改它们。 更新5：我（终于）终于找到了一种方法来使所有这些工作（下面的答案）。但是，我不知道这是否是正确且安全的方法。因此，我开始了赏金计划。拥有保护和​​管理www目录的最佳方法的人将获胜。

69 linux  permissions  chmod 

我们在服务器上运行着一套Windows服务，它们相互独立执行一堆自动化任务，但一个服务负责其他服务。 如果其中一项服务无法响应或挂起，则该服务将尝试重新启动服务，如果在尝试过程中引发异常，则将电子邮件发送给支持团队，以便他们可以自己重新启动服务。 经过一些研究，我遇到了一些“解决方案”，从KB907460中提到的解决方法到提供服务运行管理员权限的帐户。 我对这两种方法都不满意-我不了解Microsoft知识库文章中概述的第一种方法的后果，但我绝对不希望授予管理员访问运行该服务的帐户的权限。 我快速浏览了“本地安全策略”，除了定义帐户是否可以作为服务登录的策略之外，我看不到其他任何类似于服务的内容。 我们正在Server 2003和Server 2008上运行此程序，因此任何想法或指针都将受到欢迎！ 澄清：我不想授予给定用户或组启动/停止/重新启动所有服务的功能-我希望授予给定用户或组仅对特定服务的执行权限。 进一步说明：我需要授予这些权限的服务器不属于域-它们是两个面向Internet的服务器，它们接收文件，对其进行处理并将它们发送给第三方，以及为几个网站提供服务，因此Active Directory组策略是不可能的。抱歉，我没有说清楚。

61 windows  permissions  group-policy  security  windows-service 

我试图将给定数据库的所有表上的所有特权授予新的postgres用户（而不是所有者）。似乎GRANT ALL PRIVILEGES ON DATABASE my_db TO new_user;没有做到这一点。成功运行上述命令后（以postgres用户身份），我以new_user身份获得以下内容： $ psql -d my_db my_db => SELECT * FROM a_table_in_my_db; ERROR: permission denied for relation a_table_in_my_db 两个问题： 1）如果不授予my_db上所有表的所有权限，那么上面的命令会做什么？ 2）向用户授予对所有表的所有权限的正确方法是什么？（包括将来创建的所有表）

60 permissions  sql  postgresql 

的Ubuntu touch：无法触摸`/var/run/test.pid'：权限被拒绝 我正在启动start-stop-daemon并想将PID文件写入/ var / run中。start-stop-daemon以my-program-user身份运行 / var / run设置为drwxr-xr-x 9 root root 我想避免将我的程序用户放在根组中。

51 ubuntu  permissions  root  pid 

我cert.pem和我的cert.key文件都在/etc/apache2/ssl文件夹中。 什么是最安全的权限和所有权： /etc/apache2/ssl 目录 /etc/apache2/ssl/cert.pem 文件 /etc/apache2/ssl/cert.key 文件 （https://当然，确保访问工作：）。 谢谢， J.P

50 apache-2.2  security  permissions  ssl  file-permissions 

我们已经将mysql数据目录移动到了另一个磁盘，所以现在/var/lib/mysql只是另一个分区的安装点。我们将/var/lib/mysql目录的所有者设置为mysql.mysql。 但是，每次安装分区时，所有权都会更改为root.root。因此，我们无法创建其他MySQL数据库。 我们的fstab条目： /dev/mapper/db-db /var/lib/mysql ext3 relatime 0 2 如何将安装点的所有者更改为root以外的用户？

44 unix  mount  permissions  fstab