Eu tenho uma pergunta sobre o servidor Web, especialmente o PHP / Apache Server.
Um desenvolvedor disse a mim e aos meus colegas que hoje é ruim colocar nosso diretório da Web no diretório WWW, porque não é seguro (os hackers sabem onde procurar).
Ele nos disse que apenas desenvolvedores ruins colocam seus arquivos nesse diretório.
Mas temos que colocá-los em outro diretório.
É verdade??
security
apache-http-server
php
webserver
Courtin Guillaume
fonte
fonte
Respostas:
Isso é segurança pela obscuridade. Em uma configuração sã com permissões apropriadas , um hacker nem mesmo estaria no seu sistema de arquivos. Se ele estivesse e seu sistema estivesse comprometido, ele poderia apenas dar uma olhada nos arquivos de configuração do servidor da web.
Bons fundamentos são sempre bons - há uma razão para os servidores Web serem executados como usuários específicos (www-data), você sempre deve desativar o acesso root ssh (e tentar trabalhar como um usuário comum com o uso mínimo do sudo), conceder aos arquivos a permissão mínima configurações necessárias e assim por diante.
A colagem de arquivos fora do padrão / var / www parece um problema para mim. Há muitas razões para fazer as coisas de outras maneiras (algumas distros usam / srv / www, eu acho), e às vezes ter uma pasta separada por webapp é uma boa idéia para a manutenção. Às vezes, tenho aplicativos que executam seus próprios servidores, por exemplo, e esses não pertencem a / var / www - digamos que algo que executa o django seria executado em seu próprio diretório, mas isso é principalmente para manutenção e causa a perda do servidor principal '. não precisa ver esses arquivos
Eu pediria ao desenvolvedor para explicar por que isso é assim mesmo, apenas para rir.
fonte