有一天，VIP演講廳微信群的一位同學(xué)說網(wǎng)站被絞死了。經(jīng)過長時(shí)間檢查后，無法找到原因。 Elong SEO的負(fù)責(zé)人劉明問了一個(gè)問題“技術(shù)上是否在Linux系統(tǒng)中為網(wǎng)站的核心目錄設(shè)置了777文件權(quán)限”，同學(xué)們發(fā)現(xiàn)它是。那么，什么是777？老虎機(jī)？喜歡懶惰的程序員應(yīng)該微笑并省去麻煩。這個(gè)簡單數(shù)字背后代表了一組很棒的文件權(quán)限控制思想。院長急忙請劉明背誦一篇文章，讓我們慢慢了解劉明的解釋。

　一、當(dāng)用戶訪問一個(gè)網(wǎng)頁

此時(shí)，服務(wù)器內(nèi)部會(huì)發(fā)生什么，請參考下圖。這些鏈接中的任何一個(gè)都有漏洞并會(huì)導(dǎo)致問題。請注意，此圖片僅供個(gè)人理解，并非真實(shí)流程。

　二、文件的權(quán)限只有三種

查看Linux的標(biāo)準(zhǔn)文檔，您就會(huì)知道。該文件分為三個(gè)權(quán)限：讀取，寫入和執(zhí)行。

r Read可以打開并閱讀內(nèi)容。

w寫入可以修改內(nèi)容，添加內(nèi)容，甚至刪除內(nèi)容。

x Execute可以作為可執(zhí)行文件或shell腳本執(zhí)行。

特別是，對于目錄，x表示您可以瀏覽其中的文件。

三、文件權(quán)限針對的是三類用戶。

所有者文件的所有者或創(chuàng)建文件的人員。

組文件所在的組。一個(gè)組可以包含許多所有者，但它不一定包含當(dāng)前文件。

其他其他，即除當(dāng)前所有者外，當(dāng)前所有者除外。

　四、實(shí)際是什么樣子的。

linux中的所有文件都需要記錄這3種權(quán)限和3種人。 3x3=9，加上表示“這不是目錄”的標(biāo)簽，共10個(gè)標(biāo)簽。如圖所示，

這12行代表12個(gè)文件，所有這些文件都是由一個(gè)名為罪的人創(chuàng)建的，罪的分組是工作人員。

　　五、詳細(xì)解釋一下。

我們從前到后逐一談話。寫一個(gè)孩子（drwx）意味著有這個(gè)權(quán)限。寫一條水平線（ - ），表示沒有這樣的權(quán)限。

Drwxrwxrwx

1:這不是文件夾。 d表示是， - 表示否。 （如果你寫l，你可以理解他是一個(gè)捷徑）

2：所有者是否可以讀取此文件的內(nèi)容。 r表示是， - 表示否。

3：所有者可以重寫此文件的內(nèi)容。 w表示是， - 表示否。

4:所有者可以執(zhí)行此文件。 x表示是， - 表示否

5：組是否可以讀取該文件的內(nèi)容。 r表示是， - 表示否。

6:組可以重寫此文件的內(nèi)容。 w表示是， - 表示否。

7:組可以執(zhí)行此文件。 x表示是， - 表示否。

8:其他可以讀取該文件的內(nèi)容。 r表示是， - 表示否。

9：其他可以重寫此文件的內(nèi)容。 w表示是， - 表示否。

10：其他可以執(zhí)行此文件。 x表示是， - 表示否。

　六、怎么用數(shù)字方便的表示文件權(quán)限。

因?yàn)?0個(gè)職位中的第一個(gè)不是許可，我們只看后面的9個(gè)職位。

如何將此權(quán)限轉(zhuǎn)換為數(shù)字？ rwxrw-R -

所有者組別

符號(hào)r w x r w - r - -

二進(jìn)制1 1 1 1 1 0 1 0 0

總和7 6 4

111=2 ^ 2 + 2 ^ 1 + 2 ^ 0=7

110=2 ^ 2 + 2 ^ 1=6

100=2 ^ 2=4

所以rwxrw-r--變?yōu)椋?64

　　七、常用的權(quán)限數(shù)字

通常用于更改文件權(quán)限，xxx表示文件名

600只擁有者具有讀寫權(quán)限

644所有者具有讀寫權(quán)限，組僅具有讀權(quán)限

700只有ower有讀寫權(quán)限和執(zhí)行權(quán)限

666所有者，組，其他人具有讀寫權(quán)限

777所有者，組，其他人具有讀寫權(quán)限和執(zhí)行權(quán)限

　　八、終于講到正題了

話雖如此，你應(yīng)該明白，777意味著任何人都可以做任何事情。這等于沒有設(shè)置權(quán)限！ Linux無法忍受自己故意制造漏洞的安全性。這與使用窗紙?zhí)鎿Q鋼鐵俠的材料完全相同。

linux的安全性原則是最小特權(quán)原則。未經(jīng)許可，不得給予許可。許多懶惰或新手程序員經(jīng)常使用最大權(quán)限來節(jié)省麻煩。

有人問，網(wǎng)站需要上傳圖片，需要正常，否則圖片會(huì)被放置。然后我想問一下，你的房子可以自由移動(dòng)嗎？冰箱可以移動(dòng)，承重墻可以移動(dòng)嗎？請注意，客廳，臥室，衛(wèi)生間和廚房空間都是rw，但承重墻只能是r，不能只是w。

同樣，網(wǎng)站的核心代碼不可寫，只能讀取。

學(xué)到了權(quán)限的基本支持，如何使用它？ （只能說出意思，應(yīng)該如何部署，或者找一個(gè)專業(yè)的操作和維護(hù)學(xué)生來問，我已經(jīng)很長時(shí)間沒有碰過網(wǎng)了。）

假設(shè)我將核心代碼放在/var/www /中，并將圖像放在/var/pic /中。前面的目錄rw，r中的所有文件。后者本身就是r

Web服務(wù)器只能解析/var/www /中的文件，并且無法在/var/pic /中執(zhí)行。這不會(huì)讓人們將特洛伊木馬放入/var/pic /。

由于每個(gè)網(wǎng)站使用不同的語言，因此無法進(jìn)行統(tǒng)一描述，僅舉幾例。如果您的網(wǎng)站使用php語言，嵌入式木馬基本上是用php語言編寫的命令。

您可以單獨(dú)嘗試這兩個(gè)命令，因?yàn)閜hp木馬經(jīng)常使用eval和create_function來做壞事（比如/var/www /學(xué)生在路徑中不存在，想想10分鐘）。

Grep'eval（'/var/www/* -r

Grep'create_function（'/var/www/* -r

請注意，它不是沒有使用777權(quán)限，它是萬無一失的，網(wǎng)絡(luò)的漏洞很多而且完美無缺，這篇文章只是個(gè)玩笑。

« 小米營銷出現(xiàn)在冰城廣告節(jié)，在智能生態(tài)下帶來了新思維 | 花哨的營銷不值得失去新世界的知識(shí)支付營銷陷阱 »