推奨されるディレクトリ権限は何ですか?


145

Drupal 7サイトの展開に向けて準備を進めていますが、推奨されるセキュリティ重視のファイルおよびディレクトリのアクセス許可の設定に関するドキュメントが見つかりません。

具体的にdefault/files/(また、サブディレクトリ?)、 settings.php.htaccessと私は知っておくべき何か。


1

これを美しく説明し、抽象的な方法であらゆる側面をカバーするブログがあります。technologymythbuster.blogspot.com/2018/06/...
Kalpesh Popat

回答:


69

Webサーバーは、すべてのファイルを読み取ることはできますが書き込むことはできません。サイトにファイルのアップロードが含まれる場合は、サーバーにその1つのフォルダーのみへの書き込み許可を与えます。

設定方法の詳細と、設定しない場合に発生する可能性のある情報については、Drupalのドキュメントを参照してください


13
これは、sites / default / filesディレクトリには当てはまりません。これは、Webサーバーによって書き込み可能である必要があります。そうしないと、大量のトラブルが発生します。
ルービー

3
@rooby 2番目の文はそれを明確にします。
ケノーブ

14
「サイトにファイルのアップロードが含まれる場合」と表示されますが、それだけではなく、ファイルディレクトリへの書き込みアクセスが必要になる場合があります。非常に一般的な例は、ファイルをアップロードする無関係のユーザーであるjs / css集約です。他のモジュールも、そのディレクトリが書き込み可能であることを期待する場合があります。
ルービー

91

そのような多くのようなdrupalページは非常に長く、混乱を招きます。しかし、頭に釘を打ったジェイソンによるこの投稿が含まれています:

Jason Saleが2010年11月1日午後12時40分に投稿

これとすべてを書いてくれてありがとう、しかし私とこのページを読んでいる人々の99%が本当に欲しいのは、フォルダーのリストの隣の数字のリストだけです。

  • /default 755で
  • /default/files 744(または755)のすべてのサブフォルダーとファイルを含む
  • /default/themes 755のすべてのサブフォルダーとファイルを含む
  • /default/modules 755のすべてのサブフォルダーとファイルを含む
  • /default/settings.phpおよび/default/default.settings.php444

7
トピックは長く、混乱を招きます。ページは状況の現実に適合します。
グレグル

17
... Drupalドキュメントの!そして、それがすぐにシンプルで理解可能なものに変更する必要がある理由です!特にセキュリティに関しては。セキュリティに関するものだからです!それは私たち全員のものだからです。感染したサーバーは、未経験のDrupalユーザーの問題だけではありません。それは私たち全員の問題です。そのため、開発者のナルシズムに触発された複雑で質の悪いドキュメントを維持して、複雑さと複雑さ、そして自分自身がどれだけうまく処理できるかを示すことはあまり役に立ちません。単純なファイルアクセス許可ツリーのグラフィックを省く意味はありません。webchickはそれに同意します。
nilsun

3
/ default / filesに755があるのはなぜですか?誰かがフロントエンドをハッキングすることで(または不適切な構成を介して)悪意のあるものをアップロードした場合に備えて、これは常に744であってはなりませんか?755を持っている理由はありますか?/ tmpはどうですか?
Webdrips

1
settings.phpファイルは440でなければなりません。「その他」はsettings.phpを見ることができません。740。sudoコマンドなしで書き込みできるようにする場合。
ブライデン

ファイル内の.htaccessファイルとtmpフォルダーをWebサーバーで書き込む必要があるのはなぜですか?settings.phpのように444とマークするのは安全ではありません。ハッカーがjunkfile.phpをwebserverを介してfilesフォルダーにアップロードしてから.htaccessファイルを置き換えることができるかどうかを尋ねる理由です。私は正しいですか?
18年

82

サーバー上に新しいDrupalサイトを作成する際の私の練習は、Webサーバー(通常Apache)グループの一部であるユーザーを持ち、そのユーザーがすべてのDrupalファイルを所有することです。Ubuntuでは、これらをセットアップするためのコマンドは次のとおりです。

# Create a new example user, setting up /var/www/example as their home dir.
useradd -s /bin/bash -d /var/www/example -m example

# Now add that user to the Apache group. On Ubuntu/Debian this group is usually
# called www-data, on CentOS it's usually apache.
usermod -a -G www-data example

# Set up a password for this user.
passwd example

設定が完了したら、そのユーザーとしてログインし、Drupalを/ var / www / example / docrootなどにインストールし、手動でファイルディレクトリを作成し、settings.phpファイルをコピーします。Drupalにコピーする前にサンプルユーザーとしてログインするため、すべてのコアDrupalファイルとスクリプト(.htaccessファイルを含む)でファイルの所有権とアクセス許可が自動的に適切に構成されます。

su - example
cd docroot
cp sites/default/default.settings.php sites/default/settings.php

# Temporarily give the web server write permissions to settings.php
chgrp www-data sites/default/settings.php
chmod g+w sites/default/settings.php

それでは、filesディレクトリを設定しましょう。

# Create the directory.
mkdir sites/default/files

# Now set the group to the Apache group. -R means recursive, and -v means 
# verbose mode.
chgrp -Rv www-data sites/default/files

次に、Webサーバーがこのディレクトリにある任意のファイルに常に書き込むことができるように、アクセス許可を設定します。これを行うには、chmodコマンドで2775を使用します。2は、このディレクトリで作成された新しいファイルに対してグループIDが保持されることを意味します。つまり、www--dataは常にすべてのファイルのグループになるため、Webサーバーとユーザーの両方に、このディレクトリに配置される新しいファイルへの書き込み許可が常に与えられます。最初の7は、所有者(例)がここのファイルをR(読み取り)W(書き込み)およびX(実行)できることを意味します。2番目の7は、グループ(www-data)がこのディレクトリ内のファイルをRWおよびXできることを意味します。最後に、5は他のユーザーがRおよびXファイルを作成できるが、書き込みはできないことを意味します。

 chmod 2775 sites/default/files

このディレクトリに既存のファイルがある場合は、Webサーバーに書き込みパーマがあることを確認してください。

 chmod g+w -R sites/default/files

これで、Drupalをインストールする準備ができました。終了したら、非常にのsettings.phpすべてのユーザがアクセス権を読んだことを確認するために戻ってくることが重要。

 chmod 444 sites/default/settings.php

それでおしまい!この設定により、ディレクトリを所有するユーザーまたはWebサーバーがファイルディレクトリ内のファイルを書き込み/変更/削除できない状況を回避できます。


settings.phpとして.htacessを444 jsutに設定するのは安全ではありませんか?とにかく、そのファイルはめったにdrupalコアで更新されません。
18年

.htaccessを444に設定できますが、Drupalコアをアップグレードするときに頭痛の種が追加され、サイトの安全性が向上しません。
q0rban

30

Drupalファイルフォルダーは、Webサーバーによって書き込み可能である必要があります。これを行う最も安全な方法は、次のようにグループを変更し、グループを書き込み可能にすることです。

chgrp www-data sites/default/files
chmod g+w sites/default/files

ファイルアップロードフォルダーは別として、最も安全なのはすべてのファイルのchmod 644、ディレクトリの755です。

これは、次のように実行できます(Drupal-siteフォルダーで実行する場合.、現在のパス用です):

find . -type f | xargs chmod 644
find . -type d | xargs chmod 755

chmod g+w上記のコマンドを実行した後、すべてのファイルとフォルダーのchmodをリセットするため、再度設定する必要があることに注意してください。


2
この回答は、あなたがubuntuにいることを前提としています。あなたのサイトは、そのサーバーで実行されている唯一のサイトです。また、問題を自動的に解決するのではなく、一度だけ解決します(たとえば、umaskを変更することにより)。
しわ

必ずしもUbuntuではなく、同じサーバー上で複数のサイトが実行されている場合でも、依然として有用な手段です。Linuxに精通していない人には、umaskの変更(これらの設定があればよいのですが)はお勧めしません。これは完璧なセキュリティではないことは知っていますが、ここで完璧な敵にならないようにしましょう。
mikl

マルチサイトで実行chgrp -R www-data sites/*/fileschmod -R g+w sites/*/files、ステータスページのエラーを取り除きます。
レイマンス

20

「chmod blah」または「chown X」へのアドバイスは、ファイルのデフォルトのuser:groupが何であり、Webサーバーがどのユーザーおよびグループとして実行されるかを知らなくても意味がありません。

他の人がリンクしているDrupal Docsはこのトピックに関して非常に優れていますが、他のリソースの1つは、すべてが適切に設定されていることを確認するのに役立つセキュリティレビューモジュールです。


9

FTPを使用してサーバー上でファイルが作成され、Webサーバーが実行される資格情報(通常、Apacheはnobody / nobodyとして実行される)とは異なる資格情報を使用して作成される場合を考慮して返信します。これは、Drupalインストーラー(Drupalアーカイブからサーバーにアップロードされたファイルも含む)を実行する前に手動で作成されたファイルを所有するユーザーが、Webサーバーの実行に使用したユーザーではないことを意味します(ユーザー名またはグループが一致しません) 。このシナリオは、これらのファイルがSSHを使用して作成される場合にも適用されます。

  • settings.phpファイルはDrupalインストーラーから書き込み可能である必要がありますが、インストールが完了したら読み取り専用にすることをお勧めします(インストーラーはそれを提案し、Drupalはファイルが本当に読み取り専用かどうかを定期的に確認します)。私が説明しているシナリオでは、このファイルの許可は少なくとも644でなければなりません。
  • .htaccessファイル(少なくとも2つの場所に存在する)には644のアクセス許可が必要です。ファイルを作成したユーザーは、次のバージョンのDrupalに.htaccessファイルが付属している場合でも、ファイルを上書きできます。更新されました(セキュリティの問題を回避するためにそのファイルに行が追加されたときに既に発生しています)。許可を444に設定することもできますが、その場合は、ファイルを更新する必要があるときに許可を644に戻す必要があります。
  • モジュールによって作成されたファイルを含むディレクトリ(default/filesディレクトリ)は(Webサーバープロセスに割り当てられているユーザーの場合、そのWebサーバーで実行されているPHPスクリプトに割り当てられているユーザーの場合):
    • 読みやすい
    • 書き込み可能
    • 通過可能(モジュールはに到達できる必要がありますdefault/files/<directory-used-by-the-module>/<sub-directory-used-by-the-module>

drupal.org/node/244924、特にdrupal.org/node/244924#comment-8186447のスレッドを読んだ後、ファイルが660 RW-RW ----のみになるようにアップロードする方法を提供する方法はありませんでした。実行ビットなし。主なセキュリティ上の問題ではありませんか?
18

8

推奨されるファイル/ディレクトリ許可:

  • Drupal webrootは誰でも読めるはずです(updater.incを参照):0755
  • パブリックアップロードディレクトリの場合:0755または0775
  • プライベートアップロードディレクトリの場合:0750または0770
  • アップロードされた公開ファイルの場合:0644または0664
  • プライベートにアップロードされたファイルの場合:0640または0660
  • アップロードディレクトリ内の.htaccessの場合(file_create_htaccess()を参照):0444(デフォルト)または0644
  • すべての(および他の機密ファイル)のsettings.php読み取り専用:0440
  • 他のすべてのWebディレクトリの場合:0755
  • 他のすべてのWebファイルの場合:0644

推奨されるファイル/ディレクトリの所有権:

  • すべてのアップロードディレクトリ/ファイルの所有者はApacheユーザーに設定する必要があります。
  • すべてのweb / sourcesディレクトリ/ファイルの所有者は非Apacheユーザーに設定する必要があります。
  • (オプション)すべてのソースのグループをApacheグループに設定する必要があります。

新しいアイテムのデフォルトのディレクトリ/ファイル許可を制御する変数は次のとおりです。

file_chmod_directory: 0775
file_chmod_file: 0664

権限を修正するためのスクリプトを次に示します。fix-permissions.sh


続きを読む:


これは、パブリック/プライベートディレクトリのリモートホストのアクセス許可を修正するために使用しているスクリプトです。

#!/bin/sh -e
# Script to correct public/private directory and files permissions.
[ -z "$1" ] && { echo Usage: $0 @remote.dst; exit 1; }

DST="$1" && shift
GET_HTTP_GROUP='ps axo user,group,comm | egrep "(apache|httpd)" | grep -v ^root | uniq | cut -d\  -f 1'

drush $* $DST ssh 'PUB=$(drush dd %files) && PRIV=$(drush dd %private) && AGROUP=$('"$GET_HTTP_GROUP"') && chgrp -vR $AGROUP $PUB $PRIV && chmod -vR u+rwX,g+rwX,o+rX $PUB $PRIV'

注:上記のコードは、Apacheグループ取得してGET_HTTP_GROUP変数に設定しようとします。


とても素敵なチートシート、ブックマークされています。良い仕事..
16

4

このシェルスクリプトは、このページの下部にあります:https : //www.drupal.org/node/244924

私は時々それを実行して、許可が正しく設定されていることを確認します。

#!/bin/bash
# Help menu
print_help() {
cat <<-HELP
This script is used to fix permissions of a Drupal installation
you need to provide the following arguments:
1) Path to your Drupal installation.
2) Username of the user that you want to give files/directories ownership.
3) HTTPD group name (defaults to www-data for Apache).
Usage: (sudo) bash ${0##*/} --drupal_path=PATH --drupal_user=USER --httpd_group=GROUP
Example: (sudo) bash ${0##*/} --drupal_path=/usr/local/apache2/htdocs --drupal_user=john --httpd_group=www-data
HELP
exit 0
}
if [ $(id -u) != 0 ]; then
  printf "**************************************\n"
  printf "* Error: You must run this with sudo. *\n"
  printf "**************************************\n"
  print_help
  exit 1
fi
drupal_path=${1%/}
drupal_user=${2}
httpd_group="${3:-www-data}"
# Parse Command Line Arguments
while [ $# -gt 0 ]; do
  case "$1" in
    --drupal_path=*)
      drupal_path="${1#*=}"
      ;;
    --drupal_user=*)
      drupal_user="${1#*=}"
      ;;
    --httpd_group=*)
      httpd_group="${1#*=}"
      ;;
    --help) print_help;;
    *)
      printf "***********************************************************\n"
      printf "* Error: Invalid argument, run --help for valid arguments. *\n"
      printf "***********************************************************\n"
      exit 1
  esac
  shift
done
if [ -z "${drupal_path}" ] || [ ! -d "${drupal_path}/sites" ] || [ ! -f "${drupal_path}/core/modules/system/system.module" ] && [ ! -f "${drupal_path}/modules/system/system.module" ]; then
  printf "*********************************************\n"
  printf "* Error: Please provide a valid Drupal path. *\n"
  printf "*********************************************\n"
  print_help
  exit 1
fi
if [ -z "${drupal_user}" ] || [[ $(id -un "${drupal_user}" 2> /dev/null) != "${drupal_user}" ]]; then
  printf "*************************************\n"
  printf "* Error: Please provide a valid user. *\n"
  printf "*************************************\n"
  print_help
  exit 1
fi
cd $drupal_path
printf "Changing ownership of all contents of "${drupal_path}":\n user => "${drupal_user}" \t group => "${httpd_group}"\n"
chown -R ${drupal_user}:${httpd_group} .
printf "Changing permissions of all directories inside "${drupal_path}" to "rwxr-x---"...\n"
find . -type d -exec chmod u=rwx,g=rx,o= '{}' \;
printf "Changing permissions of all files inside "${drupal_path}" to "rw-r-----"...\n"
find . -type f -exec chmod u=rw,g=r,o= '{}' \;
printf "Changing permissions of "files" directories in "${drupal_path}/sites" to "rwxrwx---"...\n"
cd sites
find . -type d -name files -exec chmod ug=rwx,o= '{}' \;
printf "Changing permissions of all files inside all "files" directories in "${drupal_path}/sites" to "rw-rw----"...\n"
printf "Changing permissions of all directories inside all "files" directories in "${drupal_path}/sites" to "rwxrwx---"...\n"
for x in ./*/files; do
    find ${x} -type d -exec chmod ug=rwx,o= '{}' \;
    find ${x} -type f -exec chmod ug=rw,o= '{}' \;
done
echo "Done setting proper permissions on files and directories"
Copy the code above to a file, name it "fix-permissions.sh" and run it as follows:
sudo bash fix-permissions.sh --drupal_path=your/drupal/path --drupal_user=your_user_name

Note: The server group name is assumed "www-data", if it differs use the --httpd_group=GROUP argument.

2

また、fastcgiを実行している場合、phpはユーザーとしてASを実行し、これを意図的に回避しようとしない限り、ユーザーがアクセスできるすべてのファイルにアクセスできます。


1

これは、OSXの許可に関する問題の解決に役立ちました。プロトプラスムユーザーがhttps://www.drupal.org/node/244924#comment-3741738で見つけました。私は彼が移行後に問題を抱えているようでした。

[root@localhost]cd /path_to_drupal_installation/sites
[root@localhost]find . -type d -name files -exec chmod ug=rwx,o= '{}' \;
[root@localhost]find . -name files -type d -exec find '{}' -type f \; | while read FILE; do chmod ug=rw,o= "$FILE"; done
[root@localhost]find . -name files -type d -exec find '{}' -type d \; | while read DIR; do chmod ug=rwx,o= "$DIR"; done

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.