web-dev-qa-db-ja.com

推奨されるディレクトリ権限は何ですか?

Drupal 7サイトを展開する準備をしています。推奨されるセキュリティを意識したファイルとディレクトリのアクセス許可の設定に関するドキュメントが見つかりません。

具体的にはdefault/files/(サブディレクトリも?)、settings.php.htaccessと私が知っておくべき何か他のもの。

145
ack

Webサーバーはすべてのファイルを読み取ることができるはずですが、それらに書き込むことはできません。サイトにファイルのアップロードが含まれる場合は、サーバーにその1つのフォルダーのみに書き込む権限を与えます。

それを設定する方法の詳細、および設定しない場合に発生する可能性があることについては、 Drupal docs を参照してください。

68
Paul Jones

その drupal のように多くのページは非常に長く、混乱を招きます。しかし、それは頭に釘を打ったジェイソンによるこの投稿を含みます:

2010年11月1日午後12時40分にJason Saleによって投稿されました。

これとすべてを書いてくれてありがとう、しかし私とこのページを読んでいる人々の99%が本当に望んでいるのはフォルダのリストの隣にある数字のリストだけです。

  • /default 755
  • /default/files 744(または755)上のすべてのサブフォルダとファイルを含みます
  • /default/themes 755のすべてのサブフォルダとファイルを含む
  • /default/modules 755のすべてのサブフォルダとファイルを含む
  • /default/settings.phpおよび/default/default.settings.php 444
91
ErichBSchulz

サーバー上に新しいDrupalサイトを作成する私の慣例は、Webサーバー(通常はApache)グループの一部であるユーザーを用意し、そのユーザーにすべてのDrupalファイルを所有させることです。 Ubuntuでは、これらを設定するコマンドは次のとおりです。

# Create a new example user, setting up /var/www/example as their home dir.
useradd -s /bin/bash -d /var/www/example -m example

# Now add that user to the Apache group. On Ubuntu/Debian this group is usually
# called www-data, on CentOS it's usually Apache.
usermod -a -G www-data example

# Set up a password for this user.
passwd example

セットアップが完了したら、そのユーザーとしてログインし、Drupalを/ var/www/example/docrootなどにインストールしてから、手動でファイルディレクトリを作成し、settings.phpファイルをコピーします。 Drupalにコピーする前にサンプルユーザーとしてログインするため、すべてのコアDrupalファイルとスクリプト(.htaccessファイルを含む)でファイルの所有権と権限が自動的に適切に構成されます。

su - example
cd docroot
cp sites/default/default.settings.php sites/default/settings.php

# Temporarily give the web server write permissions to settings.php
chgrp www-data sites/default/settings.php
chmod g+w sites/default/settings.php

次に、filesディレクトリーをセットアップします。

# Create the directory.
mkdir sites/default/files

# Now set the group to the Apache group. -R means recursive, and -v means 
# verbose mode.
chgrp -Rv www-data sites/default/files

次に、アクセス許可を設定して、Webサーバーが常にこのディレクトリにあるすべてのファイルに書き込みできるようにします。これを行うには、chmodコマンドで2775を使用します。 2は、このディレクトリで作成された新しいファイルのグループIDが保持されることを意味します。つまり、www--dataは常にすべてのファイルのグループになるため、Webサーバーとユーザーの両方が、このディレクトリに配置された新しいファイルへの書き込み権限を常に持つことになります。最初の7つは、所有者(例)がここにあるすべてのファイルをR(読み取り)W(書き込み)およびX(実行)できることを意味します。 2番目の7は、グループ(www-data)もこのディレクトリ内の任意のファイルをR WおよびXできることを意味します。最後に、5は、他のユーザーがRおよびXファイルを作成できるが書き込みはできないことを意味します。

 chmod 2775 sites/default/files

このディレクトリに既存のファイルがある場合は、Webサーバーにそれらのファイルへの書き込み権限があることを確認してください。

 chmod g+w -R sites/default/files

これでDrupalをインストールする準備ができました。完了したら、[〜#〜] very [〜#〜] settings.phpに戻り、すべてのユーザーに読み取り権限のみがあることを確認することが重要です。

 chmod 444 sites/default/settings.php

それでおしまい!この設定により、ディレクトリを所有するユーザーまたはWebサーバーがファイルディレクトリ内のファイルを書き込み/変更/削除できない状況を回避できます。

81
q0rban

Drupal filesフォルダーは、Webサーバーから書き込み可能である必要があります。これを行う最も安全な方法は、次のように、グループを変更してグループを書き込み可能にすることです。

chgrp www-data sites/default/files
chmod g+w sites/default/files

ファイルアップロードフォルダは別として、最も安全なのは、すべてのファイルに対してchmod 644、ディレクトリに対して755です。

これは次のようにして実現できます(Drupal-siteフォルダーで実行する場合、.は現在のパス用です):

find . -type f | xargs chmod 644
find . -type d | xargs chmod 755

上記のコマンドを実行した後、chmod g+wを再度設定する必要があります。これにより、すべてのファイルとフォルダーのchmodがリセットされます。

31
mikl

「chmod blah」または「chown X」へのアドバイスは、知らない限り意味がありません。ファイルのデフォルトのuser:groupは何であり、webserverはどのユーザーとグループとして実行されますか。

Drupal他のユーザーがリンクしているドキュメントはこのトピックについては非常に優れていますが、他の1つのリソースは Security Review Module であり、これによりすべてが適切に設定されていることを確認できます。

20
greggles

FTPを使用してサーバー上にファイルが作成され、Webサーバーが実行されているもの(通常、Apacheはnobody/nobodyとして実行されます)とは異なる資格情報を使用して、ファイルを作成する場合を考慮して返信します。これは、Drupalインストーラーを実行する前に手動で作成されたファイル(Drupalアーカイブからサーバーにアップロードされたファイルも含む)を所有するユーザーは、実行に使用されたユーザーではないことを意味しますWebサーバー(ユーザー名もグループも一致しません)。このシナリオは、それらのファイルがSSHを使用して作成される場合にも適用されます。

  • Settings.phpファイルはDrupalインストーラーから書き込み可能である必要がありますが、インストールが完了したら、読み取り専用にすることをお勧めします(インストーラーが推奨し、Drupalは定期的にファイルが本当に読み取り専用かどうかを確認してください)。私が説明しているシナリオでは、このファイルの権限は少なくとも644である必要があります。
  • .htaccessファイル(少なくとも2か所に存在)には、権限644が必要です。ファイルを作成したユーザーは、次のバージョンのDrupalがリリースされた場合でも、ファイルを上書きできるはずです。更新された.htaccessファイルを使用します(セキュリティの問題を回避するためにそのファイルに行が追加されたときに、すでに1回行われていました)。権限を444に設定することも可能ですが、その場合、ファイルを更新する必要があるときに、権限を644に戻す必要があります。
  • モジュールによって作成されたファイルを含むディレクトリ(default/filesディレクトリ)は(Webサーバープロセスに割り当てられているユーザーの場合、PHPスクリプトに割り当てられているユーザーである必要があります)そのWebサーバーで実行中):
    • 読みやすい
    • 書き込み可能
    • 走査可能(モジュールはdefault/files/<directory-used-by-the-module>/<sub-directory-used-by-the-module>に到達できる必要があります)
9
kiamlaluno

推奨されるファイル/ディレクトリの権限:

  • Drupalウェブルートは誰でも読み取り可能である必要があります(参照: pdater.inc ):0755
  • パブリックアップロードディレクトリの場合:0755または0775
  • プライベートアップロードディレクトリの場合:0750または0770
  • アップロードされた公開ファイルの場合:0644または0664
  • アップロードされたプライベートファイルの場合:0640または0660
  • アップロードディレクトリ内の.htaccessの場合(参照: file_create_htaccess() ):0444(デフォルト)または0644
  • すべての(およびその他の機密ファイル)の読み取り専用のsettings.phpの場合:0440
  • 他のすべてのWebディレクトリ:0755
  • その他すべてのWebファイルの場合:0644

推奨されるファイル/ディレクトリの所有権:

  • すべてのアップロードディレクトリ/ファイルの所有者はApacheユーザーに設定する必要があります。
  • すべてのweb/sourcesディレクトリ/ファイルの所有者は、非Apacheユーザーに設定する必要があります。
  • (オプション)すべてのソースのグループをApacheグループに設定する必要があります。

新しいアイテムのデフォルトのdir/file権限を制御する変数は次のとおりです。

file_chmod_directory: 0775
file_chmod_file: 0664

権限を修正するためのスクリプトを以下に示します。 fix-permissions.sh


続きを読む:


以下は、パブリック/プライベートディレクトリのリモートホストの権限を修正するために使用しているスクリプトです。

#!/bin/sh -e
# Script to correct public/private directory and files permissions.
[ -z "$1" ] && { echo Usage: $0 @remote.dst; exit 1; }

DST="$1" && shift
GET_HTTP_GROUP='ps axo user,group,comm | egrep "(Apache|httpd)" | grep -v ^root | uniq | cut -d\  -f 1'

drush $* $DST ssh 'PUB=$(drush dd %files) && PRIV=$(drush dd %private) && AGROUP=$('"$GET_HTTP_GROUP"') && chgrp -vR $AGROUP $PUB $PRIV && chmod -vR u+rwX,g+rwX,o+rX $PUB $PRIV'

注:上記のコードは Apacheグループの取得 を試み、GET_HTTP_GROUP変数に設定します。

7
kenorb

このシェルスクリプトは、このページの下部にあります。 https://www.drupal.org/node/244924

私は時々それを実行して、許可が正しくセットアップされていることを確認します。

#!/bin/bash
# Help menu
print_help() {
cat <<-HELP
This script is used to fix permissions of a Drupal installation
you need to provide the following arguments:
1) Path to your Drupal installation.
2) Username of the user that you want to give files/directories ownership.
3) HTTPD group name (defaults to www-data for Apache).
Usage: (Sudo) bash ${0##*/} --drupal_path=PATH --drupal_user=USER --httpd_group=GROUP
Example: (Sudo) bash ${0##*/} --drupal_path=/usr/local/Apache2/htdocs --drupal_user=john --httpd_group=www-data
HELP
exit 0
}
if [ $(id -u) != 0 ]; then
  printf "**************************************\n"
  printf "* Error: You must run this with Sudo. *\n"
  printf "**************************************\n"
  print_help
  exit 1
fi
drupal_path=${1%/}
drupal_user=${2}
httpd_group="${3:-www-data}"
# Parse Command Line Arguments
while [ $# -gt 0 ]; do
  case "$1" in
    --drupal_path=*)
      drupal_path="${1#*=}"
      ;;
    --drupal_user=*)
      drupal_user="${1#*=}"
      ;;
    --httpd_group=*)
      httpd_group="${1#*=}"
      ;;
    --help) print_help;;
    *)
      printf "***********************************************************\n"
      printf "* Error: Invalid argument, run --help for valid arguments. *\n"
      printf "***********************************************************\n"
      exit 1
  esac
  shift
done
if [ -z "${drupal_path}" ] || [ ! -d "${drupal_path}/sites" ] || [ ! -f "${drupal_path}/core/modules/system/system.module" ] && [ ! -f "${drupal_path}/modules/system/system.module" ]; then
  printf "*********************************************\n"
  printf "* Error: Please provide a valid Drupal path. *\n"
  printf "*********************************************\n"
  print_help
  exit 1
fi
if [ -z "${drupal_user}" ] || [[ $(id -un "${drupal_user}" 2> /dev/null) != "${drupal_user}" ]]; then
  printf "*************************************\n"
  printf "* Error: Please provide a valid user. *\n"
  printf "*************************************\n"
  print_help
  exit 1
fi
cd $drupal_path
printf "Changing ownership of all contents of "${drupal_path}":\n user => "${drupal_user}" \t group => "${httpd_group}"\n"
chown -R ${drupal_user}:${httpd_group} .
printf "Changing permissions of all directories inside "${drupal_path}" to "rwxr-x---"...\n"
find . -type d -exec chmod u=rwx,g=rx,o= '{}' \;
printf "Changing permissions of all files inside "${drupal_path}" to "rw-r-----"...\n"
find . -type f -exec chmod u=rw,g=r,o= '{}' \;
printf "Changing permissions of "files" directories in "${drupal_path}/sites" to "rwxrwx---"...\n"
cd sites
find . -type d -name files -exec chmod ug=rwx,o= '{}' \;
printf "Changing permissions of all files inside all "files" directories in "${drupal_path}/sites" to "rw-rw----"...\n"
printf "Changing permissions of all directories inside all "files" directories in "${drupal_path}/sites" to "rwxrwx---"...\n"
for x in ./*/files; do
    find ${x} -type d -exec chmod ug=rwx,o= '{}' \;
    find ${x} -type f -exec chmod ug=rw,o= '{}' \;
done
echo "Done setting proper permissions on files and directories"
Copy the code above to a file, name it "fix-permissions.sh" and run it as follows:
Sudo bash fix-permissions.sh --drupal_path=your/drupal/path --drupal_user=your_user_name

Note: The server group name is assumed "www-data", if it differs use the --httpd_group=GROUP argument.
4

また、fastcgiを実行している場合、phpはユーザーとして実行され、意図的にこれを回避しようとしない限り、ユーザーがアクセスできるすべてのファイルにアクセスできます。

3
G.Martin

これは、私のOSX権限の問題を解決するのに役立ちました。私はそれを原形質ユーザーによって https://www.drupal.org/node/244924#comment-3741738 で見つけました。私は彼が移住後に問題を抱えているようでした。

[[email protected]]cd /path_to_drupal_installation/sites
[[email protected]]find . -type d -name files -exec chmod ug=rwx,o= '{}' \;
[[email protected]]find . -name files -type d -exec find '{}' -type f \; | while read FILE; do chmod ug=rw,o= "$FILE"; done
[[email protected]]find . -name files -type d -exec find '{}' -type d \; | while read DIR; do chmod ug=rwx,o= "$DIR"; done
1
cayerdis

あなたのサイトが安全かどうかをチェックする Security review と呼ばれるモジュールがあります。また、サイトのアクセス許可を設定するための非常に優れた link も見つけました。

0
Manikandan