Linux下Web目录和文件安全权限设置

Linux下Web目录和文件安全权限设置

在Linux下，web目录和文件权限必须从整体上考虑系统的安全。一般情况下，对目录，需要设置 r(读取)和x(执行)权限，有的目录同时还需要w(写入权限)；对文件，需要r(读取)，有的文件需要w(写入)权限或x(执行)权限。

在Linux系统中，使用命令umask设置创建文件或目录的默认rwx权限，系统默认的umask设置是022，这个权限的计算相当于文件、目录权限的掩码，例如此时创建的目录权限755 (rwxr-xr-x)，那么其umask权限相当于相对777的掩码022；而此时创建的文件权限为644 (rw-r–r–)，其umask权限相当于相对666的掩码022。

当然，这样的权限设置很不安全，同一台server上的不同用户(可能相同也可能不同用户组)/虚拟主机用户能够互相窥探到对方的源码，umask值必须修改的比较严格，以使得除root权限之外，不能随意互相窥探其他人的源码、数据库资料等。

设置方法是：去掉同用户组和其他用户组的r(读取)权限，具体做法是设置目录权限为500(读取+执行)同时文件权限为400(读取)，此时umask应设置为277，设置目录权限为700(读取+写入+执行)同时文件权限为500(读取+执行)，此时umask应设置为177。

例如对于后者，我们可以使用命令 umask 177设置当前对话下的默认目录、文件创建权限，如果要永久设置，就要修改/root/.bash_profile以及所有用户home的录下的.bash_profile文件，将其中的 umask 022改为 umask 177。

从以上可以看出，如果要设置较为安全的目录、文件权限，几个基本原则就是：

1、尽可能减少web路径下可写入目录的数量。

2、文件的写入和执行权限只能选择其一，避免同时出现写入和执行权限。