防止webshell,网站安全设置必会命令,Linux 文件基本属性: cho...-女黑客-必火安全学院

女黑客

 找回密码
 立即注册

QQ登录

只需一步,快速开始

防止webshell,网站安全设置必会命令,Linux 文件基本属性: cho...

[复制链接]
发表于 2019-11-4 19:32:43 | 显示全部楼层 |阅读模式
最近,我总结了一套安全法则,可以让网站不被拿到webshell那就是网站文件全部设置属主为root
对于uploads这些可写的目录,可以配置成777
但要在相应的apache配置文件里,设置不能执行脚本
  <Directory "D:/phpStudy/www/pikachu/vul/unsafeupload/uploads">
ErrorDocument 404 /404/404.htmlErrorDocument 403 /404/403.html  

<FilesMatch "\.(?i:php|php3|php4)$">   

Order allow,deny

Deny from all

</FilesMatch>
</Directory>  

chown和chmod命令用法如下:
[root@www /]# ls -ltotal 64dr-xr-xr-x   2 root root 4096 Dec 14  2012 bin-rwxrwxr-x   4 root root 4096 Apr 19  2012 main.c
  • 当为[ d ]则是目录
  • 当为[ - ]则是文件;
  • 若是[ l ]则表示为链接文档(link file);
  • 若是[ b ]则表示为装置文件里面的可供储存的接口设备(可随机存取装置);
  • 若是[ c ]则表示为装置文件里面的串行端口设备,例如键盘、鼠标(一次性读取装置)。

第0位确定文件类型,
第1-3位确定属主(该文件的所有者)拥有该文件的权限。
第4-6位确定属组(所有者的同组用户)拥有该文件的权限,
第7-9位确定其他用户拥有该文件的权限。
第1、4、7位表示读权限
第2、5、8位表示写权限
第3、6、9位表示可执行权限

在Linux系统中,用户是按组分类的,一个用户属于一个或多个组。
[root@www /]# ls -ltotal 64d rwx r-x r-x 2 root  root  4096 Feb 15 14:46 crond  rwx  r-x  r-x 3 mysql mysql 4096 Apr 21  2014 mysql就是说root用户组 其他用户组的不可以修改
在以上实例中,mysql 文件是一个目录文件,属主和属组都为 mysql,
属主有可读、可写、可执行的权限;
与属主同组的其他用户有可读和可执行的权限;其他用户也有可读和可执行的权限。
对于 root 用户来说,一般情况下,文件的权限对其不起作用。

更改文件属性1、chgrp:更改文件属组语法:
chgrp [-R] 属组名文件名参数选项
  • -R:递归更改文件属组,就是在更改某个目录文件的属组时,如果加上-R的参数,那么该目录下的所有文件的属组都会更改。
如:
chgrp -R daokr test  更改 test的 目录属于组daokr  但是daokr用户无法修改该目录文件

2、chown:更改文件属主,也可以同时更改文件属组语法:
chown [–R] 属主名 文件名chown [-R] 属主名:属组名 文件名


daokr@daokr-sys:/home$ chown -R daokr:daokr testchown: 正在更改'test/tt/m.c' 的所有者: 不允许的操作chown: 正在更改'test/tt' 的所有者: 不允许的操作chown: 正在更改'test' 的所有者: 不允许的操
必须用root用户操作修改权限组和属性主

root@daokr-sys:/home# ls -l总用量 12drwxr-xr-x 20 daokr daokr 4096 3月  27 14:41 daokr-rw-r--r--  1 root  root    19 3月  27 14:23 maintest.cdrwxr-xr-x  3 daokr daokr 4096 3月  27 14:35 test利用冒号 “:”改变所属组
如: 把myfile文件夹的组改成ikphp组直接用:
drwxrwx--x 2 daokr daokr 4096 3月  31 22:49 myfile
daokr@DK:~$ sudo chown -R :ikphp myfile

drwxrwx--x 2 daokr ikphp 4096 3月 31 22:49 myfile


3、chmod:更改文件9个属性 更改文件 只读 只写 可执行的属性Linux文件属性有两种设置方法,一种是数字,一种是符号。
Linux文件的基本权限就有九个,分别是owner/group/others三种身份各有自己的read/write/execute权限。读写执行权限
先复习一下刚刚上面提到的数据:文件的权限字符为:『-rwxrwxrwx』, 这九个权限是三个三个一组的!其中,我们可以使用数字来代表各个权限,各权限的分数对照表如下:

第一种案例:数字更改数字来代表各个权限,各权限的分数对照表如下:
  • r:4
  • w:2
  • x:1
每种身份(owner/group/others)各自的三个权限(r/w/x)分数是需要累加的,例如当权限为: [-rwxrwx---] 分数则是:
  • owner = rwx = 4+2+1 = 7
  • group = rwx = 4+2+1 = 7
  • others= --- = 0+0+0 = 0
所以等一下我们设定权限的变更时,该文件的权限数字就是770啦!变更权限的指令chmod的语法是这样的:
chmod [-R] xyz 文件或目录选项与参数:
  • xyz : 就是刚刚提到的数字类型的权限属性,为 rwx 属性数值的相加。
  • -R : 进行递归(recursive)的持续变更,亦即连同次目录下的所有文件都会变更
举例来说,如果要将.bashrc这个文件所有的权限都设定启用,那么命令如下:
改下m.c 文件的属性 为 rwx rwx ---  意思是 主用户权限是 rwx=7 root用户是 rwx=7 其他用户 无权限


daokr@daokr-sys:/home/test/tt$ ls -l总用量 4-rw-r--r-- 1 daokr daokr 26 3月  27 14:45 m.cdaokr@daokr-sys:/home/test/tt$ chmod 770 m.c daokr@daokr-sys:/home/test/tt$ ls -l总用量 4-rwxrwx--- 1 daokr daokr 26 3月  27 14:45 m.c

daokr@daokr-sys:/home/test/tt$ sudo chown daokr:root m.c[sudo] daokr 的密码: daokr@daokr-sys:/home/test/tt$ ls -l总用量 4-r--rwx--- 1 daokr root 26 3月  27 14:45 m.cdaokr@daokr-sys:/home/test/tt$ vim m.c daokr@daokr-sys:/home/test/tt$ chmod 440 m.c
上面的 把 m.c 修改了权限组root 和 文件属性 440;说明 daokr用户和root用户都无法修改该文件;因为是只读文件

第二种案例:通过字符更改
基本上就九个权限分别是(1)user (2)group (3)others三种身份啦!
那么我们就可以藉由u, g, o来代表三种身份的权限!



此外, a 则代表 all 亦即全部的身份!那么读写的权限就可以写成r, w, x!也就是可以使用底下的方式来看:

[td]
chmodu
g
o
a
+(加入)
-(除去)
=(设定)
r
w
x
文件或目录
如果我们需要将文件权限设置为 -rwxr-xr-- ,可以使用 chmod u=rwx,g=rx,o=r 文件名 来设定:


daokr@daokr-sys:/home/test/tt$ chmod u=rwx,g=rwx,o=- m.cdaokr@daokr-sys:/home/test/tt$ ls -l总用量 4-rwxrwx--- 1 daokr root 26 3月  27 14:45 m.cdaokr@daokr-sys:/home/test/tt$ chmod u=r-x,g=-wx,o=- m.cdaokr@daokr-sys:/home/test/tt$ ls -l总用量 4-r-------- 1 daokr root 32 3月  27 15:35 m.cdaokr@daokr-sys:/home/test/tt$ chmod u=r-x,g=r,o=- m.cdaokr@daokr-sys:/home/test/tt$ ls -l总用量 4-r--r----- 1 daokr root 32 3月  27 15:35 m.cdaokr@daokr-sys:/home/test/tt$ chmod u=r-x,g=rw,o=- m.cdaokr@daokr-sys:/home/test/tt$ ls -l总用量 4-r--rw---- 1 daokr root 32 3月  27 15:35 m.c


而如果是要将权限去掉而不改变其他已存在的权限呢?例如要拿掉全部人的可执行权限,则:
#  chmod  a-x test1# ls -al test1-rw-r--r-- 1 root root 0 Nov 15 10:32 test1

然后daokr@daokr-sys:/home/test/tt$ chmod a-x m.c
daokr@daokr-sys:/home/test/tt$ ls -l
总用量 4
-r--rw---- 1 daokr root 32 3月 27 15:35 m.c
daokr@daokr-sys:/home/test/tt$ chmod u=rwx,g=rwx,o=r m.c
daokr@daokr-sys:/home/test/tt$ ls -l
总用量 4
-rwxrwxr-- 1 daokr root 32 3月 27 15:35 m.c

利用 加号和减号 添加和删除权限
分别u,g,o用户进行加减操作权限
daokr@DK:~$ chmod o-x a.outdaokr@DK:~$ chmod o+x a.outdaokr@DK:~$ chmod u-x a.outdaokr@DK:~$ chmod g-x a.out设置权限当前用户有读写执行;用户组;读写执行;other用户只有可执行权限
chmod u=rwx,g=rwx,o=x myfile
4.对目录dir默认系统设置umaks

umask 022设置当前系统 新建的目录默认权限是022 就是775
参数-S 表示以源码查看
daokr@DK:~$ umask -Su=rwx,g=rwx,o=rxdaokr@DK:~$ umask 022daokr@DK:~$ umask -Su=rwx,g=rx,o=rxdaokr@DK:~$ umask
0022
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|小黑屋|女黑客 |网站地图

© Copyright 2021 版权所有(一极教育科技有限公司)

津ICP备17008032号-3
快速回复 返回顶部 返回列表