Was sind die empfohlenen Verzeichnisberechtigungen?

Ich bereite mich auf die Bereitstellung einer Drupal 7-Site vor und finde keine Dokumentation darüber, wie die empfohlenen sicherheitsbewussten Datei- und Verzeichnisberechtigungen festgelegt werden sollten.

Insbesondere default/files/(auch Unterverzeichnisse?) Und alles andere settings.php, .htaccesswas ich beachten sollte.

Ihr Webserver sollte in der Lage sein, alle Dateien zu lesen, aber nicht in sie zu schreiben. Wenn Ihre Site das Hochladen von Dateien umfasst, erteilen Sie dem Server die Berechtigung, nur in diesen einen Ordner zu schreiben.

Weitere Informationen zum Einrichten sowie einige Dinge, die passieren können, wenn Sie dies nicht tun, finden Sie in den Drupal-Dokumenten .

Diese Drupal- Seite ist sehr lang und verwirrend. Aber es enthält diesen Beitrag von Jason, der den Nagel auf den Kopf getroffen hat:

Gepostet von Jason Sale am November 1, 2010, um 12:40 Uhr

Danke, dass Sie dies und alles geschrieben haben, aber alles, was ich und 99% der Leute, die diese Seite lesen, wirklich wollen, ist eine Liste von Zahlen neben einer Liste von Ordnern.

• /default am 755
• /default/files Einschließlich aller Unterordner und Dateien auf 744 (oder 755)
• /default/themes einschließlich aller Unterordner und Dateien auf 755
• /default/modules einschließlich aller Unterordner und Dateien auf 755
• /default/settings.phpund /default/default.settings.phpauf 444

Meine Praxis beim Erstellen einer neuen Drupal-Site auf einem Server besteht darin, einen Benutzer zu haben, der Teil der Webserver-Gruppe (normalerweise Apache) ist und dem alle Drupal-Dateien gehören. Unter Ubuntu sind dies die Befehle, um dieses Setup zu erhalten:

# Create a new example user, setting up /var/www/example as their home dir.
useradd -s /bin/bash -d /var/www/example -m example

# Now add that user to the Apache group. On Ubuntu/Debian this group is usually
# called www-data, on CentOS it's usually apache.
usermod -a -G www-data example

# Set up a password for this user.
passwd example

Sobald ich das eingerichtet habe, melde ich mich als dieser Benutzer an und installiere Drupal unter / var / www / example / docroot oder ähnlichem. Dann erstelle ich das Dateiverzeichnis von Hand und kopiere die settings.php-Datei. Da wir uns vor dem Kopieren in Drupal als Beispielbenutzer anmelden, sollten unser Dateibesitz und unsere Berechtigungen für alle wichtigen Drupal-Dateien und -Skripten (einschließlich .htaccess-Dateien) automatisch ordnungsgemäß konfiguriert werden.

su - example
cd docroot
cp sites/default/default.settings.php sites/default/settings.php

# Temporarily give the web server write permissions to settings.php
chgrp www-data sites/default/settings.php
chmod g+w sites/default/settings.php

Nun richten wir das Dateiverzeichnis ein.

# Create the directory.
mkdir sites/default/files

# Now set the group to the Apache group. -R means recursive, and -v means 
# verbose mode.
chgrp -Rv www-data sites/default/files

Als Nächstes richten wir Berechtigungen ein, damit der Webserver immer in jede Datei in diesem Verzeichnis schreiben kann. Wir tun dies, indem wir 2775 in unserem Befehl chmod verwenden. Die 2 bedeutet, dass die Gruppen-ID für alle in diesem Verzeichnis erstellten neuen Dateien erhalten bleibt. Das bedeutet, dass www - data immer die Gruppe für alle Dateien ist, wodurch sichergestellt wird, dass sowohl der Webserver als auch der Benutzer immer Schreibberechtigungen für alle neuen Dateien haben, die in diesem Verzeichnis abgelegt werden. Die erste 7 bedeutet, dass der Eigentümer (Beispiel) beliebige Dateien hier in R (Lesen) W (Schreiben) und X (Ausführen) kann. Die zweite 7 bedeutet, dass die Gruppe (www-data) auch beliebige Dateien in diesem Verzeichnis rw und x kann. Schließlich bedeutet die 5, dass andere Benutzer R- und X-Dateien können, aber nicht schreiben.

 chmod 2775 sites/default/files

Wenn in diesem Verzeichnis Dateien vorhanden sind, vergewissern Sie sich, dass der Webserver über Schreibrechte verfügt.

 chmod g+w -R sites/default/files

Jetzt kann Drupal installiert werden. Wenn Sie fertig sind, ist es SEHR wichtig, zu settings.php zurückzukehren und sicherzustellen, dass alle Benutzer nur Leseberechtigungen haben.

 chmod 444 sites/default/settings.php

Das ist es! Diese Einstellung stellt sicher, dass Sie Situationen vermeiden, in denen entweder der Benutzer, dem das Verzeichnis gehört, oder der Webserver keine Dateien im Dateiverzeichnis schreiben / ändern / entfernen können.

Der Ordner mit den Drupal-Dateien sollte vom Webserver beschreibbar sein. Der sicherste Weg, dies zu tun, besteht darin, die Gruppe zu ändern und beschreibbar zu machen, wie folgt:

chgrp www-data sites/default/files
chmod g+w sites/default/files

Abgesehen vom Datei-Upload-Ordner ist der sicherste chmod 644 für alle Dateien, 755 für Verzeichnisse.

Dies könnte folgendermaßen geschehen (wenn es im Drupal-Site-Ordner ausgeführt wird, .gilt der aktuelle Pfad):

find . -type f | xargs chmod 644
find . -type d | xargs chmod 755

Denken Sie daran, dass Sie chmod g+wnach dem Ausführen des obigen Befehls eine erneute Einstellung vornehmen müssen, da dadurch das chmod für alle Dateien und Ordner zurückgesetzt wird.

Alle Ratschläge zu "chmod blah" oder "chown X" sind bedeutungslos, ohne zu wissen: Wie lautet die Standardbenutzergruppe in den Dateien und als welche Benutzer und Gruppen wird Ihr Webserver ausgeführt?

Die Drupal-Dokumente, auf die andere verlinkt haben, sind in diesem Thema ziemlich gut, aber eine andere Ressource ist das Sicherheitsüberprüfungsmodul, mit dem Sie sicherstellen können, dass Sie alles richtig eingestellt haben.

Ich werde antworten, wenn man bedenkt, dass die Dateien auf dem Server mit FTP erstellt wurden und andere Anmeldeinformationen als auf dem Webserver verwendet wurden (normalerweise wird Apache als nobody / nobody ausgeführt). Dies bedeutet, dass der Benutzer, dem die vor dem Ausführen des Drupal-Installationsprogramms manuell erstellten Dateien gehören (einschließlich der Dateien, die aus dem Drupal-Archiv auf den Server hochgeladen wurden), nicht der Benutzer ist, mit dem der Webserver ausgeführt wurde (weder der Benutzername noch die Gruppe stimmen überein). . Dieses Szenario gilt auch für den Fall, dass diese Dateien mit SSH erstellt werden.

• Die settings.php-Datei muss vom Drupal-Installationsprogramm aus beschreibbar sein. Nach Abschluss der Installation wird jedoch empfohlen, sie schreibgeschützt zu machen (dies wird vom Installationsprogramm empfohlen, und Drupal überprüft regelmäßig, ob die Datei wirklich schreibgeschützt ist). In dem Szenario, das ich beschreibe, sollte die Berechtigung dieser Datei mindestens 644 sein.
• Die .htaccess-Dateien (die an mindestens zwei Stellen vorhanden sind) sollten die Berechtigung 644 haben. Der Benutzer, der die Datei erstellt hat, sollte weiterhin in der Lage sein, die Datei zu überschreiben, falls eine nächste Version von Drupal mit einer .htaccess-Datei geliefert wird, die .htaccess-Datei wurde aktualisiert (es ist bereits einmal vorgekommen, als dieser Datei eine Zeile hinzugefügt wurde, um ein Sicherheitsproblem zu vermeiden). Es ist auch möglich, die Berechtigungen auf 444 festzulegen. In diesem Fall sollten die Berechtigungen jedoch auf 644 zurückgesetzt werden, wenn die Datei aktualisiert werden muss.
• Das Verzeichnis mit den von den Modulen erstellten Dateien (das default/filesVerzeichnis) muss (für den Benutzer, der den Webserverprozessen zugeordnet ist, der Benutzer, der dann den auf diesem Webserver ausgeführten PHP-Skripten zugeordnet ist) sein:
  • lesbar
  • schreibbar
  • überfahrbar (die Module müssen erreichbar sein default/files/<directory-used-by-the-module>/<sub-directory-used-by-the-module>)

Empfohlene Datei- / Verzeichnisberechtigungen:

• Drupal-Webroot sollte weltweit lesbar sein (siehe: updater.inc ): 0755
• Für öffentliche Upload-Verzeichnisse: 0755 oder 0775
• Für private Upload-Verzeichnisse: 0750 oder 0770
• Für öffentlich hochgeladene Dateien: 0644 oder 0664
• für privat hochgeladene Dateien: 0640 oder 0660
• für .htaccess in Upload-Verzeichnissen (siehe: file_create_htaccess () ): 0444 (Standard) oder 0644
• für settings.php schreibgeschützt für alle (und andere vertrauliche Dateien): 0440
• für alle anderen Webverzeichnisse: 0755
• Für alle anderen Webdateien: 0644

Empfohlener Datei- / Verzeichnisbesitz:

• Eigentümer aller Upload-Verzeichnisse / -Dateien sollte Apache-Benutzer sein,
• Eigentümer aller Web- / Quellverzeichnisse / -dateien sollte ein Benutzer sein, der nicht Apache ist.
• (optional) Gruppe aller Quellen sollte auf Apache-Gruppe gesetzt sein,

Hier sind die Variablen, die die Standard-Verzeichnis- / Dateiberechtigungen für neue Elemente steuern:

file_chmod_directory: 0775
file_chmod_file: 0664

Hier ist ein Skript zum Korrigieren von Berechtigungen: fix-permissions.sh

Weiterlesen:

• Sichern der Dateiberechtigungen und des Eigentums bei drupal.org

Hier ist ein Skript, mit dem ich die Berechtigungen auf dem Remote-Host für öffentliche / private Verzeichnisse korrigiere:

#!/bin/sh -e
# Script to correct public/private directory and files permissions.
[ -z "$1" ] && { echo Usage: $0 @remote.dst; exit 1; }

DST="$1" && shift
GET_HTTP_GROUP='ps axo user,group,comm | egrep "(apache|httpd)" | grep -v ^root | uniq | cut -d\  -f 1'

drush $* $DST ssh 'PUB=$(drush dd %files) && PRIV=$(drush dd %private) && AGROUP=$('"$GET_HTTP_GROUP"') && chgrp -vR $AGROUP $PUB $PRIV && chmod -vR u+rwX,g+rwX,o+rX $PUB $PRIV'

^{Hinweis: Mit dem obigen Code wird versucht, die Apache-Gruppe abzurufen und auf GET_HTTP_GROUPvariabel zu setzen.}

Dieses Shell-Skript befindet sich am Ende dieser Seite: https://www.drupal.org/node/244924

Ich führe es gelegentlich aus, um sicherzustellen, dass meine Berechtigungen korrekt eingerichtet sind.

#!/bin/bash
# Help menu
print_help() {
cat <<-HELP
This script is used to fix permissions of a Drupal installation
you need to provide the following arguments:
1) Path to your Drupal installation.
2) Username of the user that you want to give files/directories ownership.
3) HTTPD group name (defaults to www-data for Apache).
Usage: (sudo) bash ${0##*/} --drupal_path=PATH --drupal_user=USER --httpd_group=GROUP
Example: (sudo) bash ${0##*/} --drupal_path=/usr/local/apache2/htdocs --drupal_user=john --httpd_group=www-data
HELP
exit 0
}
if [ $(id -u) != 0 ]; then
  printf "**************************************\n"
  printf "* Error: You must run this with sudo. *\n"
  printf "**************************************\n"
  print_help
  exit 1
fi
drupal_path=${1%/}
drupal_user=${2}
httpd_group="${3:-www-data}"
# Parse Command Line Arguments
while [ $# -gt 0 ]; do
  case "$1" in
    --drupal_path=*)
      drupal_path="${1#*=}"
      ;;
    --drupal_user=*)
      drupal_user="${1#*=}"
      ;;
    --httpd_group=*)
      httpd_group="${1#*=}"
      ;;
    --help) print_help;;
    *)
      printf "***********************************************************\n"
      printf "* Error: Invalid argument, run --help for valid arguments. *\n"
      printf "***********************************************************\n"
      exit 1
  esac
  shift
done
if [ -z "${drupal_path}" ] || [ ! -d "${drupal_path}/sites" ] || [ ! -f "${drupal_path}/core/modules/system/system.module" ] && [ ! -f "${drupal_path}/modules/system/system.module" ]; then
  printf "*********************************************\n"
  printf "* Error: Please provide a valid Drupal path. *\n"
  printf "*********************************************\n"
  print_help
  exit 1
fi
if [ -z "${drupal_user}" ] || [[ $(id -un "${drupal_user}" 2> /dev/null) != "${drupal_user}" ]]; then
  printf "*************************************\n"
  printf "* Error: Please provide a valid user. *\n"
  printf "*************************************\n"
  print_help
  exit 1
fi
cd $drupal_path
printf "Changing ownership of all contents of "${drupal_path}":\n user => "${drupal_user}" \t group => "${httpd_group}"\n"
chown -R ${drupal_user}:${httpd_group} .
printf "Changing permissions of all directories inside "${drupal_path}" to "rwxr-x---"...\n"
find . -type d -exec chmod u=rwx,g=rx,o= '{}' \;
printf "Changing permissions of all files inside "${drupal_path}" to "rw-r-----"...\n"
find . -type f -exec chmod u=rw,g=r,o= '{}' \;
printf "Changing permissions of "files" directories in "${drupal_path}/sites" to "rwxrwx---"...\n"
cd sites
find . -type d -name files -exec chmod ug=rwx,o= '{}' \;
printf "Changing permissions of all files inside all "files" directories in "${drupal_path}/sites" to "rw-rw----"...\n"
printf "Changing permissions of all directories inside all "files" directories in "${drupal_path}/sites" to "rwxrwx---"...\n"
for x in ./*/files; do
    find ${x} -type d -exec chmod ug=rwx,o= '{}' \;
    find ${x} -type f -exec chmod ug=rw,o= '{}' \;
done
echo "Done setting proper permissions on files and directories"
Copy the code above to a file, name it "fix-permissions.sh" and run it as follows:
sudo bash fix-permissions.sh --drupal_path=your/drupal/path --drupal_user=your_user_name

Note: The server group name is assumed "www-data", if it differs use the --httpd_group=GROUP argument.

Auch wenn Sie fastcgi ausführen, wird PHP als Benutzer ausgeführt und hat Zugriff auf alle Dateien, auf die der Benutzer Zugriff hat, sofern Sie nicht absichtlich versuchen, dies zu vermeiden.

Dies hat mir bei meinen OSX-Berechtigungsproblemen geholfen. Ich fand es in https://www.drupal.org/node/244924#comment-3741738 von Protoplasma-Benutzer. Ich war wie er, der Probleme nach einer Migration hatte.

[root@localhost]cd /path_to_drupal_installation/sites
[root@localhost]find . -type d -name files -exec chmod ug=rwx,o= '{}' \;
[root@localhost]find . -name files -type d -exec find '{}' -type f \; | while read FILE; do chmod ug=rw,o= "$FILE"; done
[root@localhost]find . -name files -type d -exec find '{}' -type d \; | while read DIR; do chmod ug=rwx,o= "$DIR"; done

Es gibt ein Modul namens Sicherheitsüberprüfung, das überprüft, ob Ihre Site sicher ist oder nicht. Ich habe auch einen sehr guten Link zum Festlegen von Site-Berechtigungen gefunden.