drupal网站安全之文件权限

最新推荐文章于 2018-09-04 17:49:19 发布
最新推荐文章于 2018-09-04 17:49:19 发布
阅读量967 收藏
点赞数
分类专栏: 网站安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/drupaldaily/article/details/48830671
版权
centos系统在安装apache后,会创建apache用户和apache用户组,通过apache用户运行httpd服务。网站要正常运行,必须要确保满足以下条件:
1.apache用户对所有的php脚本拥有read权限,不能拥有write权限
2. 如果网站需要有上传功能,对drupal的public文件系统(在admin/config/media/file-system),要求apache用户对该目录有read,write和execute权限

对于这些权限是否满足条件,建议使用 security review 模块进行定期检测。该模块未必能提供完全准确的信息,如果发现修改后的一些问题,依然提示错误,可以尝试先 skip, 然后再开启检测的形式。 

drwxrwx---  7 apache            www    4096 2008-01-18 11:02 files/
drwxr-x--- 32    www         apache    4096 2008-01-18 11:48 modules/
-rw-r-----  1    www         apache     873 2007-11-13 15:35 index.php

以上是一个配置实例,其中www用户属于www组,该用户是网站的owner,对所有的文件拥有read, write权限,apache用户组对所有文件拥有read权限,对文件夹有read,execute权限;对于files文件夹比较特殊,他的owner为apache用户,对该文件夹拥有read, write, execute权限,对该文件夹内的文件拥有read, write权限。
对于权限修改,可以参考以下命令: 
[root@localhost]cd /path_to_drupal_installation
[root@localhost]chown -R www:apache .
[root@localhost]find . -type d -exec chmod u=rwx,g=rx,o= '{}' \;
[root@localhost]find . -type f -exec chmod u=rw,g=r,o= '{}' \;

对于files内的文件夹和文件权限的修改,参考以下命令: 
[root@localhost]cd /path_to_drupal_installation/sites
[root@localhost]find . -type d -name files -exec chmod ug=rwx,o= '{}' \;
[root@localhost]for d in ./*/files
do
   find $d -type d -exec chmod ug=rwx,o= '{}' \;
   find $d -type f -exec chmod ug=rw,o= '{}' \;
done

以上内容参考了 Securing file permissions and ownership.

drupaldaily
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
云客Drupal源码分析之权限系统(上)
云客的技术博客【云游天下 做客四方】
05-05 1198
系统权限设计架构: 权限系统的终极目的是判断在某情景下谁能对某物做什么或者不能做什么,可以看出有三个基本要素:操作者、被操作者、操作环境(或者叫上下文),对应的权限系统就好像一个警卫,房间里面是被操作者,操作者要进入房间去操作被操作者,此时门卫会根据情况来做判断,允许就放其进入,反之拒绝,一旦进入了,警卫就不管操作者具体要做什么了,如果要进行更加细粒度的权限检查那么就把被操作者拆分成更小的部分,
drupal的权限设置
dianai7709的博客
06-27 185
通过hook_menu()设置url的权限,有两种方式: 方式一:定义函数,通过access callback 'access callback' => 'fun()', function fun(){ #coding return true or false } 方式二:通过在权限页面配置,通过access arguments 'access...
Drupal权限控制
BorisHuai前端修炼
11-04 2683
      Drupal的权限控制是基于角色(role)进行管理的,即系统是把权限分配给角色而不是用户的,例如用户A要想拥有写博客权限,这时首先要创建一个角色,例如Blog member, 然后给角色Blog member分配写博客的权限,之后再将角色Blog member分配给用户A,或者也可以说用户A拥有角色Blog member。总之,在Drupal中,一个用户可以拥有多个角
drupal 自定义权限
ivhong
10-18 1033
有时网站需要一些特殊的权限来管理不同的用户访问权限,这就需要自定义权限了 //1.生成权限 function keats_main_permission() { return array( 'access keats' => array( 'title' => t('Access Keats'), 'description' => t('Access Kea
Drupal Private File System 私有文件系统实现
hbruce的专栏
09-14 1534
序 博主新入Drupal阵营,奋战了一个余月,总算对Drupal开发有个把握了。 最初学了怎样使用的时候,觉得很好上手啊,自认为作为一个资深码农,对框架的逻辑,代码理解很到位,夸下海口,两个星期可以拿下。谁知道学习曲线还是如是说的陡峭。 不过总算熬过来,从不知道如何入手,到现在驾轻就熟,还是有点成绩。也有必要总结总结,朋友Cameron的Drupal指南写了很多,也写得很好,不过未经他允许,
drupal文件系统概述
09-28
Drupal文件系统是一个关键组成部分,它管理着网站上所有上传、存储和访问的文件。Drupal将文件分为两类:公共文件系统和私有文件系统,每种都有其特定的用途和访问控制方式。 1. 公共文件系统:这类文件对所有用户...
CMS程序Drupal 5.19-drupal-codepub.zip
03-09
"drupal-codepub.zip" 文件可能包含的是 Drupal 5.19 版本的源代码,以及可能的附加资源,如示例站点数据、主题、模块或文档。"资料整理"目录可能包含了与 Drupal 相关的教学材料、教程或参考资料,帮助用户更好地...
Drupal v8.5.3
10-13
而“drupal-8.5.3”目录则包含了 Drupal 的源代码和其他必要文件,是搭建和运行Drupal网站的基础。 总的来说,Drupal 8.5.3作为一个强大的CMS平台,不仅提供了丰富的功能模块,还注重性能优化和安全性,适合各种...
drupal 7.88官方完整包
02-25
Drupal 7.88是Drupal内容管理系统的一个稳定版本,它为网站开发人员和管理员提供了强大的功能和灵活性。Drupal是一款开源的Web应用程序框架和内容管理平台,由全球的开发者社区维护和更新。在这个“drupal 7.88官方...
CMS程序Drupal 6.13-drupal6.x-codepub.zip
最新发布
03-09
Drupal是世界上最受欢迎的内容管理系统(CMS)之一,尤其在企业级项目和复杂网站构建中广泛应用。Drupal 6.13是Drupal 6系列的一个版本,它发布于2009年,提供了一系列的功能更新和安全改进。这个压缩包“Drupal ...
DRUPAL 关于 $user 用户权限
duotuu的专栏
05-08 1474
按登录非登录判断: < ?php global $user;/*是否为登录用户*/ if ($user -> uid){/*如果是当前浏览者为登录用户则显示下面的内容*/ print ; } else {/*如果是当前浏览者为非登录用户则显示下面的内容*/ print ; } ?> 按用户uid判断,这个很适合把一些特定区块只显示给管理员: <
drupal中的权限管理模块总结
weixin_30657541的博客
12-29 225
drupal核心的权限管理 ACL模块(权限控制接口) ACL是Access Control Lists(数据控制列表)的简写, 它并没有可视化的UI, 主要提供了权限管理的API, 第三方的权限管理模块都依赖于它. Content Access模块(基于内容类型的权限管理) 功能上主要增加了对内容类型的控制 Field Permissions模块(基于字段的权...
drupal 8 ——自定义权限
weixin_30949361的博客
11-13 273
在项目开发里面,我遇到了这么一个需求,就是对于node的title字段,编辑内容的角色不允许对title进行编辑。title字段是创建内容类型时自动生成的字段,不能在drupal8后台直接配置权限,所以我需要用代码自定义一个权限。 1.在/modules/custom下自定义一个模块,我的模块名为one_node_title_permission 2.新建三个文件,分别为one_node...
Drupal8社区文档之用户、权限、角色
weixin_30315723的博客
04-28 203
每一位访客到您的网站,他们是否有一个帐户并登录或访问网站匿名,是被视为Drupal用户。每一个用户也有一个数字ID特别的用户类型。 用户类型 主管理员 这个用户的ID(1)。一个用户ID(1)在Drupal安装创建了初级管理员帐户。这个用户很特别因为它有权限对网站做的一切。 登录 这些用户分配一个用户ID时,登记的网站。用户名和电子邮件地址的任何用户,不是匿名相关(因此必须登录)。 匿...
drupal中文文件无法上传的解决
郝玉杰的专栏
06-15 1783
【中文错误】文件上传错误。无法移动已上传的文件。 【英文错误】File upload error. Could not move uploaded file. ============================== 应用iconv函数。 针对drupal7.31,修改file.inc   //搜索: $file->filesize = filesize($file->ur
drupal7分类权限控制方法
Grails&drupal
04-06 1903
Control Who Can View Drupal Nodes: Taxonomy Access Control December 16, 2012 | Drupal Tutorials | Written by Steve Burge Twitter inShare2 In another tutorial th
云客Drupal源码分析之权限系统(下)
云客的技术博客【云游天下 做客四方】
05-12 822
在权限系统的上篇中详细介绍了入站权限检查,在下篇中将介绍业务逻辑权限检查,也就是在管理后台中看到的账户、权限、角色以及涉及管理业务逻辑的权限检查等内容,让我们从这里开始:账户、角色、权限: Drupal的权限系统采用了基于角色的访问控制RBAC(Role-Based Access Control),许多现代系统均采用RBAC,它相较于传统的访问控制,就犹如oop相较于过程式编程带来的提升一样,为大...
Drupal 8.5.6 提示目录sites/default 未受保护
自律即自由
09-04 390
安装完后后台提示一个错误:The directory sites/default is not protected from modifications and poses a security risk. You must change the directory's permissions to be non-writable. 更改权限为555即可 chmod 555 default/...
Drupal 7中如何实现更加精细的权限和可见性控制?
habout632的专栏
06-08 4376
我们知道可以在Drupal 7自带的People当中配置权限,但是控制的粒度是有限的,比较粗线条,如何才能做到控制细度,还有就是静态权限和动态权限的控制? 粒度1:Content Type  粒度2:Nodes 目前支持上面粒度控制较好用的是使用Content Access Control模块,但是该模块的Drupal 7版本还不是很稳定,会出现一些异常,只能等待维护者快速修复这些问题了
drupal mysql配置文件
05-24
Drupal 中,MySQL 的配置文件通常是在 sites/default/settings.php 文件中进行配置的。以下是一个示例: ```php $databases = array ( 'default' => array ( 'default' => array ( 'database' => 'your_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值