みんなそろそろ707やめようぜ (;´Д｀)

みんなそろそろ707やめようぜ (;´Д｀)

2016/06/04@nullpopopo


名前: Yasutaka HamadaTwitter: @nullpopopoおしごと: サーバーエンジニア https://ll4u.in/Blog: http://nullpopopo.blogcube.info/


Blog: http://nullpopopo.blogcube.info/


今日は何しにきたの？


こいつのデバッグしにきました。

https://github.com/nullpopopo/ichigeki


USPマガジン (現シェルスクリプトマガジン) vol.0 で北朝鮮謹製Linux Redstar Linux インストールレポート執筆


シェルスクリプトマガジン vol.22 ではさくらインターネット石狩データセンターへ取材しに行きました。


「ツールがなくてもサーバー構築でたじろがない！一撃シェルスクリプト道場」連載してました。

http://codezine.jp/article/corner/573


最初にごめんなさい


今日のメインテーマは WordPress ではありません。でもちょっとだけ WordPress が関係します。


今日のメインテーマはセキュリティです。


ところで皆さん、WordPressはどんなサーバーで動かしていますか？


共用サーバーVPS

クラウドKUSANAGI

wordpress.com専用サーバー

etc...


ドキュメントルート(WEBサーバーが公開するディレクトリ)以下のパーミッションって、何にしています？


755705711700701777707


707 ...


今日問題にするのはコイツですこいつ。

707


質問


ドキュメントルート以下ディレクトリのパーミッションを707にしている方、その理由を教えていただけますか？





UNIXのパーミッション


Read 4Write 2

Execute 1


UNIXのユーザー・グループの概念


usergroupother


パーミッション 707 とは自分と「他人」に対して読み(4)書き(2)実行(1)の権限を与えることになります。

つまり、他人がファイル置き放題。こわい。


実例


じゃあパーミッション何だったらいいのよ？(#・∀・) ﾌﾟﾝｽｺ!!!


その前に前提条件があります。


apacheがsuEXECに対応していること (最近のサーバー、少なくともApache 2.0では対応している。)


suEXECとはApacheユーザはWebサーバを実行しているユーザIDとは異なるユーザIDでCGIプログラムやSSIプログラムを実行することができる

引用: suEXEC サポート - Apache HTTP サーバhttp://httpd.apache.org/docs/2.0/ja/suexec.html


/home/nullpopopo 以下のオーナーは nullpopopoapache(httpd)の実行ユーザーは apache


[nullpopopo@wwwXXXX ~]$ ls -l | grep wwwdrwx---r-x 5 nullpopopo users 1024 Jun 4 10:26 www


[nullpopopo@wwwXXXX ~]$ cd ${HOME}/www[nullpopopo@wwwXXXX ~/www]$ ls -lAtotal 180-rw----r-- 1 nullpopopo users 0 Feb 18 10:08 .htaccess-rw----r-- 1 nullpopopo users 418 Feb 14 04:11 index.php-rw----r-- 1 nullpopopo users 19935 Jun 4 10:26 license.txt-rw----r-- 1 nullpopopo users 7360 Jun 4 10:26 readme.html-rw----r-- 1 nullpopopo users 5032 Jun 4 10:26 wp-activate.phpdrwx---r-x 9 nullpopopo users 2560 Jun 4 10:26 wp-admin-rw----r-- 1 nullpopopo users 364 Jun 4 10:26 wp-blog-header.php-rw----r-- 1 nullpopopo users 1476 Jun 4 10:26 wp-comments-post.php-rw----r-- 1 nullpopopo users 2853 Jun 4 10:26 wp-config-sample.php-rw----r-- 1 nullpopopo users 1569 Feb 14 04:30 wp-config.phpdrwx---r-x 7 nullpopopo users 512 Jun 4 10:30 wp-content-rw----r-- 1 nullpopopo users 3286 Feb 14 04:11 wp-cron.phpdrwx---r-x 16 nullpopopo users 4608 Jun 4 10:26 wp-includes-rw----r-- 1 nullpopopo users 2380 Feb 14 04:11 wp-links-opml.php-rw----r-- 1 nullpopopo users 3316 Feb 14 04:11 wp-load.php-rw----r-- 1 nullpopopo users 33837 Jun 4 10:26 wp-login.php-rw----r-- 1 nullpopopo users 7887 Feb 14 04:11 wp-mail.php-rw----r-- 1 nullpopopo users 13106 Jun 4 10:26 wp-settings.php-rw----r-- 1 nullpopopo users 28624 Jun 4 10:26 wp-signup.php-rw----r-- 1 nullpopopo users 4035 Feb 14 04:11 wp-trackback.php-rw----r-- 1 nullpopopo users 3061 Feb 14 04:11 xmlrpc.php


これでWordPress動くの？

動きます。


でも、大量のファイルのパーミッションを604にしたりディレクトリのパーミッションを707にするのが大変...


(実演)


[nullpopopo@wwwXXXX ~]$ cd www[nullpopopo@wwwXXXX ~/www]$ find $(pwd) -type f | xargs chmod 604[nullpopopo@wwwXXXX ~/www]$ find $(pwd) -type d | xargs chmod 705


まとめ


● ディレクトリのパーミッション 707 を勧めているサイトは信用ならない

● apacheがsuEXECに対応する前の情報、つまり古い● 書いている人が意味を理解していない

● 最近のapacheはsuEXECに対応しているので、以下のパーミッションを推奨

● ファイル: 604● ディレクトリ: 705

● 自分が使っている共用サーバーのapacheがsuEXECに対応しているかはサーバー会社のFAQを見よう

● VPSや専用サーバー、IaaSのクラウドなら自分で設定がんばろう


ありがとうございました！

Engineering

みんなそろそろ707やめようぜ (;´Д｀)