みんなそろそろ707やめようぜ (;´Д｀)

みんなそろそろ707やめようぜ (;´Д｀)
2016/06/04
@nullpopopo

名前: Yasutaka Hamada
Twitter: @nullpopopo
おしごと: サーバーエンジニア https://ll4u.in/
Blog: http://nullpopopo.blogcube.info/

Blog: http://nullpopopo.blogcube.info/

今日は何しにきたの？

こいつのデバッグしにきました。
https://github.com/nullpopopo/ichigeki

USPマガジン (現シェルスク
リプトマガジン) vol.0 で北朝鮮
謹製Linux Redstar Linux インス
トールレポート執筆

シェルスクリプトマガジン
vol.22 ではさくらインターネッ
ト石狩データセンターへ取材
しに行きました。

「ツールがなくてもサーバー構
築でたじろがない！一撃シェ
ルスクリプト道場」連載してま
した。
http://codezine.jp/article/corner/573

最初にごめんなさい

今日のメインテーマは WordPress ではありません。
でもちょっとだけ WordPress が関係します。

今日のメインテーマはセキュリティです。

ところで皆さん、WordPressはどんなサーバーで
動かしていますか？

共用サーバー
VPS
クラウド
KUSANAGI
wordpress.com
専用サーバー
etc...

ドキュメントルート(WEBサーバーが公開する
ディレクトリ)以下のパーミッションって、何に
しています？

755
705
711
700
701
777
707

707 ...

今日問題にするのはコイツです
こいつ。
707

質問

ドキュメントルート以下ディレクトリのパー
ミッションを707にしている方、その理由を教
えていただけますか？

UNIXのパーミッション

Read 4
Write 2
Execute 1

UNIXのユーザー・グループの概念

user
group
other

パーミッション 707 とは
自分と「他人」に対して読み(4)書き(2)実行(1)の権限を与えることになります。
つまり、他人がファイル置き放題。こわい。

実例

じゃあパーミッション何だったらいいのよ？
(#・∀・) ﾌﾟﾝｽｺ!!!

その前に前提条件があります。

apacheがsuEXECに対応していること (最近の
サーバー、少なくともApache 2.0では対応してい
る。)

suEXECとは
ApacheユーザはWebサーバを実行しているユーザIDとは異なるユーザIDで
CGIプログラムやSSIプログラムを実行することができる
引用: suEXEC サポート - Apache HTTP サーバ
http://httpd.apache.org/docs/2.0/ja/suexec.html

/home/nullpopopo 以下のオーナーは nullpopopo
apache(httpd)の実行ユーザーは apache

[nullpopopo@wwwXXXX ~]$ ls -l | grep www
drwx---r-x 5 nullpopopo users 1024 Jun 4 10:26 www

[nullpopopo@wwwXXXX ~]$ cd ${HOME}/www
[nullpopopo@wwwXXXX ~/www]$ ls -lA
total 180
-rw----r-- 1 nullpopopo users 0 Feb 18 10:08 .htaccess
-rw----r-- 1 nullpopopo users 418 Feb 14 04:11 index.php
-rw----r-- 1 nullpopopo users 19935 Jun 4 10:26 license.txt
-rw----r-- 1 nullpopopo users 7360 Jun 4 10:26 readme.html
-rw----r-- 1 nullpopopo users 5032 Jun 4 10:26 wp-activate.php
drwx---r-x 9 nullpopopo users 2560 Jun 4 10:26 wp-admin
-rw----r-- 1 nullpopopo users 364 Jun 4 10:26 wp-blog-header.php
-rw----r-- 1 nullpopopo users 1476 Jun 4 10:26 wp-comments-post.php
-rw----r-- 1 nullpopopo users 2853 Jun 4 10:26 wp-config-sample.php
-rw----r-- 1 nullpopopo users 1569 Feb 14 04:30 wp-config.php
drwx---r-x 7 nullpopopo users 512 Jun 4 10:30 wp-content
-rw----r-- 1 nullpopopo users 3286 Feb 14 04:11 wp-cron.php
drwx---r-x 16 nullpopopo users 4608 Jun 4 10:26 wp-includes
-rw----r-- 1 nullpopopo users 2380 Feb 14 04:11 wp-links-opml.php
-rw----r-- 1 nullpopopo users 3316 Feb 14 04:11 wp-load.php
-rw----r-- 1 nullpopopo users 33837 Jun 4 10:26 wp-login.php
-rw----r-- 1 nullpopopo users 7887 Feb 14 04:11 wp-mail.php
-rw----r-- 1 nullpopopo users 13106 Jun 4 10:26 wp-settings.php
-rw----r-- 1 nullpopopo users 28624 Jun 4 10:26 wp-signup.php
-rw----r-- 1 nullpopopo users 4035 Feb 14 04:11 wp-trackback.php
-rw----r-- 1 nullpopopo users 3061 Feb 14 04:11 xmlrpc.php

これでWordPress動くの？
動きます。

でも、大量のファイルのパーミッションを604
にしたりディレクトリのパーミッションを707
にするのが大変...

(実演)

[nullpopopo@wwwXXXX ~]$ cd www
[nullpopopo@wwwXXXX ~/www]$ find $(pwd) -type f | xargs chmod 604
[nullpopopo@wwwXXXX ~/www]$ find $(pwd) -type d | xargs chmod 705

まとめ

●
ディレクトリのパーミッション 707 を勧めているサイトは信用
ならない
●
apacheがsuEXECに対応する前の情報、つまり古い
●
書いている人が意味を理解していない
●
最近のapacheはsuEXECに対応しているので、以下のパーミッ
ションを推奨
●
ファイル: 604
●
ディレクトリ: 705
●
自分が使っている共用サーバーのapacheがsuEXECに対応してい
るかはサーバー会社のFAQを見よう
●
VPSや専用サーバー、IaaSのクラウドなら自分で設定がんばろう

ありがとうございました！

みんなそろそろ707やめようぜ (;´Д｀)

More Related Content

Viewers also liked

More from Yasutaka Hamada

みんなそろそろ707やめようぜ (;´Д｀)