有的同学觉得网站被挂马,查又查不出问题,此时怎么办?赶紧检查下是不是技术把 linux 系统里网站的核心目录设定 777 档案许可权了。那么,777 是什么?下面详解:

  一、当多用户访问一个网页

  这个时候,您的服务器内部发生了什么,请参考下图。其中任何一个环节有漏洞,都会出问题。注意,本图片只代表个人理解,并非真实流程。

  二、档案的许可权只有三种

  查询一下 linux 的标准文件,就知道。档案分为,读、写、执行三种许可权。
  rRead 可以开启并读取内容。
  wWrite 可以修改内容,增加内容,甚至删除内容。
  xExecute 可以当做可执行程序,或者 shell 指令码执行。

  特别注意,对于目录来说,x 表示可以浏览他里头都有什么档案。

  三、档案许可权针对的是三类多用户

  owner 档案所有者,或者说是建立了这个档案的人。
  group 档案所在的组,一个组可以包含很多个 owner,但不一定包含当前档案这个 owner 。
  other 其他人,也就是除了当前这个 owner,除了当前这个 group 外的所有人。

  四、实际是什么样子的

  linux 中所有档案都需要记录这 3 种许可权和 3 种人群。 3×3=9,再加上一个标记表示 “这是不是一个目录”,一共 10 个标记。如图所示:

  这 12 行表示 12 个档案,都是一个叫 sin 的人建立,而且 sin 的分组是 staff 。

  五、详细解释一下

  我们从前到后逐一说一遍。写着子母 (drwx) 的,表示有这个许可权。写着横线 (-) 的,表示没有这个许可权。

  drwxrwxrwx

  1:这是不是一个资料夹。 d 表示是,-表示否。(如果写的是 l,可以理解为他是快捷方式)
  2:owner 是否可以读取这个档案的内容。 r 表示是,-表示否。
  3:owner 是否可以改写这个档案的内容。 w 表示是,-表示否。
  4:owner 是否可以执行这个档案。 x 表示是,-表示否
  5:group 是否可以读取这个档案的内容。 r 表示是,-表示否。
  6:group 是否可以改写这个档案的内容。 w 表示是,-表示否。
  7:group 是否可以执行这个档案。 x 表示是,-表示否。
  8:other 是否可以读取这个档案的内容。 r 表示是,-表示否。
  9:other 是否可以改写这个档案的内容。 w 表示是,-表示否。
  10:other 是否可以执行这个档案。 x 表示是,-表示否。

  六、怎么用数字方便的表示档案许可权

  因为 10 个位置中,第 1 个不是许可权,我们就只看后边 9 个位置。

  如何把这个许可权转化成数字呢?rwxrw-r–
  ownergroupother
  符号 rwxrw-r–
  二进位制 111110100
  相加之和 764
  111=2^2+2^1+2^0=7
  110=2^2+2^1=6
  100=2^2=4
  所以 rwxrw-r– 就变成了:764

  七、常用的许可权数字

  常用更改档案许可权的命令,xxx 代表档名

  600 只有 owner 有读和写的许可权
  644owner 有读和写的许可权,group 只有读的许可权
  700 只有 ower 有读和写以及执行的许可权
  666owner,group,other 都有读和写的许可权
  777owner,group,other 都有读和写以及执行的许可权

  八、终于讲到正题了

  讲了这么说,您应该明白 777 的意思就是,任何人可以干任何事。那等于什么许可权都没设啊!linux 再安全也架不住自己人刻意制造漏洞吧。这完全等同于把钢铁侠屁股上的材料换成了窗户纸。

  linux 的安全原则是小许可权原则,能不给的许可权就不要给。而很多懒惰或者新手的程序设计师往往为了省事使用大许可权。

  有的人问,网站需要上传图片,需要 w 很正常,否则图片放哪呢。那我想问,您家的房子,是不是可以随便挪动?冰箱能挪动,承重墙能挪的动吗?请注意,客厅,卧室,厕所,厨房的空间都是 rw 的,但是承重墙只能是 r 的,不能随便 w 。

  同理,网站核心代码是不可写的,只能可读。

  学会了许可权的基本支持,怎么运用呢?(只能说大概意思,具体应该怎么部署,还是找都运维同学问吧,我好久没碰 web 了。)

  假设我把核心代码放在/var/www/,我把图片放在/var/pic/。前者目录 rw,里头所有档案 r 。后者本身 w,里头所有档案 r

  webserver 只能解析/var/www/里的档案,不能执行/var/pic/里的。这样不至于让人家把木马程序放到/var/pic/里执行。

  由于每个网站使用的语言都不一样,无法做一个统一说明,只能举几个例子。假如您的网站使用 php 语言,植入的木马基本也都是 php 语言写的命令。

  可以分别试试这两个命令,因为 php 木马常用 eval 和 create_function 来做坏事(说/var/www/路径不存在的同学,面壁思过 10 分钟)。

  grep”eval(“/var/www/*-r
  grep”create_function(“/var/www/*-r

  请注意,并不是没有用 777 许可权,就万无一失了,web 的漏洞多如牛毛,无孔不入,本文章只是抛砖引玉。