Segurança do servidor da Web: diretório www


2

Eu tenho uma pergunta sobre o servidor Web, especialmente o PHP / Apache Server.

Um desenvolvedor disse a mim e aos meus colegas que hoje é ruim colocar nosso diretório da Web no diretório WWW, porque não é seguro (os hackers sabem onde procurar).

Ele nos disse que apenas desenvolvedores ruins colocam seus arquivos nesse diretório.

Mas temos que colocá-los em outro diretório.

É verdade??


1
Um pouco óbvio, talvez, mas qualquer diretório que você usa no servidor deve estar devidamente protegido, independentemente de como ele é nomeado.
31516 Anaksunaman

Respostas:


4

Isso é segurança pela obscuridade. Em uma configuração com permissões apropriadas , um hacker nem mesmo estaria no seu sistema de arquivos. Se ele estivesse e seu sistema estivesse comprometido, ele poderia apenas dar uma olhada nos arquivos de configuração do servidor da web.

Bons fundamentos são sempre bons - há uma razão para os servidores Web serem executados como usuários específicos (www-data), você sempre deve desativar o acesso root ssh (e tentar trabalhar como um usuário comum com o uso mínimo do sudo), conceder aos arquivos a permissão mínima configurações necessárias e assim por diante.

A colagem de arquivos fora do padrão / var / www parece um problema para mim. Há muitas razões para fazer as coisas de outras maneiras (algumas distros usam / srv / www, eu acho), e às vezes ter uma pasta separada por webapp é uma boa idéia para a manutenção. Às vezes, tenho aplicativos que executam seus próprios servidores, por exemplo, e esses não pertencem a / var / www - digamos que algo que executa o django seria executado em seu próprio diretório, mas isso é principalmente para manutenção e causa a perda do servidor principal '. não precisa ver esses arquivos

Eu pediria ao desenvolvedor para explicar por que isso é assim mesmo, apenas para rir.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.