На какие папки какие права должны быть? - Безопасность сайтов на Joomla

Я сделала интернет-магазин, заказчик пошел  в какую-то компанию по продвижению сайтов и парни там сказали, что сайт очень уязвим из-за того, что права на папки стоят не те. Теперь хочу выяснить, где какие права должны быть поконкретнее. Вот это прочитала

* PHP-файлы: 644
    * Файлы конфигурации: 666
    * Другие папки: 755

но не совсем поняла. Ведь этих файлов и папок очень много - что, везде права проверять?
У нас магазин картин, ребята из этой фирмы сказали что все картины в открытом доступе - и их может вирус-программа автоматом заменить на какую-нибудь дрянь... Жаль, что сама этого не слышала, сейчас хотелось бы разобраться во всех опасностях. Выражаюсь, наверное, туманно, но, может, кто что посоветует...

Я сделала интернет-магазин, заказчик пошел  в какую-то компанию по продвижению сайтов и парни там сказали, что сайт очень уязвим из-за того, что права на папки стоят не те. Теперь хочу выяснить, где какие права должны быть поконкретнее. Вот это прочитала но не совсем поняла. Ведь этих файлов и папок очень много - что, везде права проверять?
У нас магазин картин, ребята из этой фирмы сказали что все картины в открытом доступе - и их может вирус-программа автоматом заменить на какую-нибудь дрянь... Жаль, что сама этого не слышала, сейчас хотелось бы разобраться во всех опасностях. Выражаюсь, наверное, туманно, но, может, кто что посоветует...

правильно про права говорят.
В любом ftp-менеджере (нормальном) есть функции "применить к вложенным папкам", "применить к вложенным файлам", "применить к вложенным папкам и файлам"
Так вот папке корневой назначаете 755 и всем вложенным и потом уже к файлам с правами 644..только на configuration.php на всякий пожарный 444 отдельно примените, и потом к тем папкам 777, которые требуют этого. Узнать  их можно в админке в Помощь/Информация о системе/Права на папки

Filezilla уже установила, теперь осталось разобраться где там что. Корневая папка - это весь сайт?

потом уже к файлам с правами 644

- то есть на папки права 755, а на файлы 644? В админке Помощь/Информация о системе/Права на папки, по-моему, на всех папках стоит статус "доступен на запись" - не понимаю.

Filezilla уже установила, теперь осталось разобраться где там что. Корневая папка - это весь сайт?  - то есть на папки права 755, а на файлы 644? В админке Помощь/Информация о системе/Права на папки, по-моему, на всех папках стоит статус "доступен на запись" - не понимаю.

если стоит доступен тогда нормально, точнее нормально будет тогда когда что нибудь захотите установить расширение или модуль  и получиться нормально.

Да... Маловато стало прав... Вместо сайта - белая страница.
Что я сделала? Буквально одна ошибочка))) Но уже исправила. Вроде все поменяла по понятиям...

Подскажите пожалуйста. переезжаю с хостинга на VDS джомловым сайтом. На хостинге все работало, как часы. На VDS возникла проблемка. Судя по всему - с правами. При попытке править конфиг выдает сообщение "Возникла ошибка! Не могу открыть конфигурационный файл на запись!". Причем при попытке почистить кеш  пишет, что не может удалить временные файлы.

Все права сохранены так же, как и на хостинге. 755 на каталоги, 644 на файлы. Пробовал поставить на config.php права 777 - сразу заработало. Но это неправильно. Стоило поставить 771 - снова полезла та же ошибка.

Предполагаю, что проблема не в правах доступа, как таковых, а в том, что какой-то пользователь в какую-то группу не входит... Помогите пожалуйста. Как должно быть? Есть пользователи: ftp-user, apache (я так понимаю, под этим юзером я в админке как раз и работаю), ssh-user, возможно кто-то еще...

Подскажите пожалуйста, как правильно должны располагаться пользователи по группам, чтобы не было необходимости выставлять права 777?

Я так понимаю, что апач должен аходить в группу какого-то из пользователей?

У меня, кстати, тоже так получается на одном хостинге, что конфигурационный файл с правами 777 иначе не работает. А на другом, по-моему, нет такой проблемы... Может, это от хостинга все зависит?

Ну наверное все-таки не от хостинга, а от настроек на нем. А посколько я пробую на VDS это настроить, то имею возможность исправить эту ошибку. Нужно только понять, в чем она.

как подключен PHP К Апачу? Если как модуль то проблемы с правами...
Я заказал настройку VDS за денежку, нет времени самому во всем этом разбираться...

Видимо и мне придется. ;(

Видимо и мне придется. ;(

Доброго времени суток. Как разрулили ситуацию?
И у меня проблемы после переезда на VPS. Например с сохранением конфигурационного файла и файла стилей шаблона.
1. Как лечить правильно и безопасно? Метаться через файлзилу и ставить то большие, то урезанные права неправильно, на мой взгляд.
2. Какие должны быть права на конфигурационный файл и файл стиля своего шаблона?

Сделай владельцем апач, и стандарт права 755/644

Права на конф-файл  J выставит сама после сохранения общих настроек, все остальное - см. пред. пост. Если кривых расширений нет, что и ломаться по сути нечему.

1. Как лечить правильно и безопасно? Метаться через файлзилу и ставить то большие, то урезанные права неправильно, на мой взгляд.

Полностью не правы!

Права на конф-файл  J выставит сама после сохранения общих настроек

так вот это действие(сохранение) и не возможно выполнить, пока руками не поменяешь права на файл по ftp.
Есть предположение, что такое произошло из-за корявого переноса сайта. Хостеры как понял просто разархивировали содержимое акибовского архива и отдельно залили дамп базы данных. В то время как акибовский архив вкупе с kickstart.php, как догадываюсь, всё это выполняет в едином процессе и похоже правильнее, учитывая эти самые права на все файлы сайта.

Сделай владельцем апач, и стандарт права 755/644

научите, как это делается, пожалуйста. Я новичок в VPS-ах.

И у меня проблемы после переезда на VPS.

Наверно потому что VPS плохо настроен. Наверно стоит php как модуль апача +  prefork апач?

Ну это обычно, про настройку прав, в FAQ хостинга читают .
Используй панель ISP Manager .
Обязательно создаешь отдельного  пользователя для сайта/домена, чтобы владелец файлов был не root.
Потом нужным тебе файлам в ISP Manager выбираешь атрибуты, и там же окне параметров атрибута файлов выбираешь владельца для файлов
Если нет ISP Manager, то Putty в помощь.

Наверно потому что VPS плохо настроен. Наверно стоит php как модуль апача +  prefork апач?

Доброе утро. а как это узнать?
Нашел такое в факе:

мы используем suphp, что позволяет запускать php скрипты от имени пользователя, а не сервера. Таким образом, достигается высокая безопасность сервера и ваших данных. Поэтому нельзя использовать CHMOD (права доступа) 777, даже если это указано в инструкции по установке скрипта. Достаточно прав 755. Стандартно для папок используйте права 755, а для файлов - 644. Также возможно создание локальных файлов конфигурации php.ini с необходимыми настройками PHP

Ну это обычно, про настройку прав, в FAQ хостинга читают .

не такого

Обязательно создаешь отдельного  пользователя для сайта/домена, чтобы владелец файлов был не root.

а это через какой интерфейс можно сделать? у меня есть ISP, ftp, ссылка на авторизацию в Proxmox Virtual Environment. А так Debian 7 стоит.

Есть же полная документация ispmanager на русском. Вот про пользователей.

Доброе утро. а как это узнать?

Скорее всего у вас по дефолту поставили. CGI php в настройках домена включите.

CGI php в настройках домена включите.

два вопроса: Зачем? и Как?

ISPmanager пользователю разрешить php как cgi и в настройках домена поменять. Проверить остались ли проблемы с правами.

Немного стал понимать. Ситуация такая: В ISP есть админ под именем root и пользователь с другим именем.
Если в файловом менеджере посмотреть, то владельцем корневой папки является пользователь, но если заглянуть внутрь, то у всех основных джумловских папок и корневых файлов(administrator, components и т.д.) владелец root, за исключением папки cgi-bin, там владелец пользователь. Внутри основных папок похоже тоже root хозяин
У пользователя стоят отмеченными права PHP как модуль Apache и PHP как CGI.

и в настройках домена поменять. Проверить остались ли проблемы с правами.

Про домен такая история: владелец тот самый пользователь, отмечено, что: php как модуль Apache, cgi-bin, ssi, ssl

Получается первое, что надо предпринять, это каким-то образом всем папкам и файлам сделать владельцем пользователя?

Пи идее включить файлы в нужную группу и под пользователя. Кажется фигню вам продали. WinSCP в помощь.

Вот ни как не понимаю в доках, что есть по ispmanager нету поиска?

http://ru.ispdoc.com/index.php/%D0%9C%D0%B5%D0%BD%D0%B5%D0%B4%D0%B6%D0%B5%D1%80_%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2

вот Изменение параметров файла или папки

http://ru.ispdoc.com/index.php/%D0%9C%D0%B5%D0%BD%D0%B5%D0%B4%D0%B6%D0%B5%D1%80_%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2#.D0.98.D0.B7.D0.BC.D0.B5.D0.BD.D0.B5.D0.BD.D0.B8.D0.B5_.D0.BF.D0.B0.D1.80.D0.B0.D0.BC.D0.B5.D1.82.D1.80.D0.BE.D0.B2_.D1.84.D0.B0.D0.B9.D0.BB.D0.B0_.D0.B8.D0.BB.D0.B8_.D0.BF.D0.B0.D0.BF.D0.BA.D0.B8

Вам просто сайт из под рута залили, выберите папку сайта и рекрусивно измените владельца файлов и папок и ни когда рутом не работайте с файлами сайта по ftp и через ispmanager, только пользователем созданным для конкретного сайта.

Благодарю.

и ни когда рутом не работайте с файлами сайта по ftp и через ispmanager, только пользователем созданным для конкретного сайта

Чтобы ни дай Бог пароль рута не перехватили?
Или если я зайду под рутом и подредактирую какой-то файл, то что-то поменяется?

Благодарю.Чтобы ни дай Бог пароль рута не перехватили?
Или если я зайду под рутом и подредактирую какой-то файл, то что-то поменяется?

Да, чтоб не перехватили.
И да, поменяется хозяин файла и прав станет не хватать.

Вообще -  рут нужен только для начальной настройки сервера, затем пароль лучше скушать, он понадобится только если надо будет администрировать сервер, но никогда для работы с сайтами!

у меня выше расположения основных папок сайта есть ещё папка vmfiles и файл .htpasswd, у которых владелец также root. Тоже неправильно и надо поставить пользователя?

смотря для чего эти папки нужны...