Как настроить права доступа к файлам для Laravel 5 (и других)

Question

Как настроить права доступа к файлам для Laravel 5 (и других)

120

Я использую веб-сервер Apache, для которого установлен владелец _www:_www. Я никогда не знаю, что лучше всего делать с правами доступа к файлам, например, когда я создаю новый проект Laravel 5.

Laravel 5 требует, чтобы папка /storage доступна для записи. Я нашел много разных подходов, чтобы заставить это работать, и я обычно заканчиваю делать это 777 chmod рекурсивно. Я знаю, что это не лучшая идея.

Официальный документ говорит:

Laravel может потребовать настройки некоторых разрешений: папкам в storage и vendor требуется доступ для записи через веб-сервер.

Означает ли это, что веб-серверу тоже нужен доступ к самим папкам storage и vendor или только к их текущему содержимому?

Я предполагаю, что, что намного лучше, это смена владельца вместо разрешения. Я рекурсивно изменил все права доступа к файлам Laravel на _www:_www и это заставило сайт работать правильно, как будто я изменил chmod на 777. Проблема в том, что теперь мой текстовый редактор запрашивает у меня пароль каждый раз, когда я хочу сохранить какой-либо файл, и то же самое происходит, если я пытаюсь что-то изменить в Finder, например, скопировать файл.

Как правильно подходить к решению этих проблем?

Изменить chmod
Измените владельца файлов так, чтобы он соответствовал владельцам веб-сервера, и, возможно, настройте текстовый редактор (и Finder?), Чтобы пропустить запрос пароля или заставить их использовать sudo
Изменить владельца веб-сервера в соответствии с пользователем ОС (я не знаю, последствия)
Что-то другое

Robo Robok 04 июнь 2015, в 08:16

Источник

3

Я думаю, что 777 - это слишком большая свобода, потому что он включает в себя все разрешения для всех.
Robo Robok 04 июнь 2015, в 14:10
0

Из документации Laravel: каталоги в storage и каталоги bootstrap/cache должны быть доступны для записи на вашем веб-сервере
joshuamabina 25 сен. 2016, в 14:04
1

используйте fcgi и вы можете 755/644 для всех (включая public / storage)
Jeffz 24 март 2018, в 02:11
0

@jww согласен, можем ли мы перенести вопрос на сервер, вместо того чтобы поставить его на удержание?
wp78de 24 дек. 2018, в 07:27

Показать ещё 2 комментария

Теги:

php

laravel

apache

file-permissions

laravel-5

13 ответов

35

Разрешения для папок storage и vendor должны оставаться на уровне 775 по очевидным соображениям безопасности.

Однако, как ваш компьютер, так и ваш сервер Apache должны иметь возможность писать в этих папках. Пример: когда вы запускаете команды типа php artisan, ваш компьютер должен записывать в файл журналов в storage.

Все, что вам нужно сделать, это передать права доступа к папкам Apache:

sudo chown -R www-data:www-data /path/to/your/project/vendor
sudo chown -R www-data:www-data /path/to/your/project/storage

Затем вам нужно добавить свой компьютер (на который он ссылается username) в группу, к которой принадлежит сервер Apache. Например:

sudo usermod -a -G www-data userName

ПРИМЕЧАНИЕ.. Чаще всего groupName составляет www-data, но в вашем случае замените его на _www

BassMHL 10 июнь 2015, в 03:06

10

+1 Мне нравится такой подход. Но я считаю, что команды chown должны включать флаг -R. Кроме того, в laravel 5.1 и 5.2 вместо каталога vendor вы должны предоставить доступ к каталогу bootstrap / cache.
Jason Wheeler 24 май 2016, в 09:54
0

Есть ли способ проверить, будет ли это работать нормально? Я имею в виду, если новый файл журнала будет создан в директории storage / logs, у которого будут правильные разрешения, как я могу это проверить?
Chaudhry Waqas 26 дек. 2018, в 10:22

12

Измените разрешения для вашей папки проекта, чтобы включить чтение/запись/exec для любого пользователя в группе, владеющей каталогом (которая в вашем случае _www):

chmod -R 775 /path/to/your/project

Затем добавьте свое имя пользователя OS X в группу _www, чтобы разрешить ему доступ к каталогу:

sudo dseditgroup -o edit -a yourusername -t user _www

Bogdan 04 июнь 2015, в 09:23

0

Когда я предоставляю dseditgroup предоставленную вами, я получаю сообщение об ошибке: Username and password must be provided. dseditgroup Username and password must be provided. ,
Robo Robok 04 июнь 2015, в 09:11
0

Моя ошибка: вам нужно запустить эту команду с пользователем, имеющим соответствующие разрешения, поэтому просто добавьте sudo в начале.
Bogdan 04 июнь 2015, в 09:18
0

Так нужно ли мне менять владельца этих файлов на _www:_www или myuser:_www ?
Robo Robok 04 июнь 2015, в 09:26
0

Вы можете оставить его _www:_www , потому что 775 означает, что любой пользователь в группе _www будет иметь полные права на чтение / запись / просмотр в этой папке, и вы просто добавили свое имя пользователя в эту группу.
Bogdan 04 июнь 2015, в 09:28
0

Не могли бы вы сказать мне одну вещь? Что значит chown myuser:_www ? Я знаю, что первый - это пользователь, а второй - это группа, но означает ли это «этот пользователь и кто-либо из этой группы» или «этот пользователь, но только если он принадлежит этой группе»?
Robo Robok 04 июнь 2015, в 09:30
0

Любой пользователь в группе _www будет иметь полные права на чтение / запись / выполнение в этой папке.
Bogdan 04 июнь 2015, в 09:37
0

Итак, я попробовал chmod go-rwx на одной папке. Он установил права на чтение / запись для группы _www и не имел доступа для everyone . Несмотря на то, что я сейчас принадлежу к группе _www , я не могу получить доступ к этим файлам из Finder. Это почему?
Robo Robok 04 июнь 2015, в 09:48
0

Если я оставлю владельца на _www:_www , я не смогу внести какие-либо изменения в Finder без ввода пароля.
Robo Robok 04 июнь 2015, в 09:59
0

Вам также необходимо установить разрешения на выполнение для группы в данном каталоге, чтобы иметь правильный доступ к ней. Читать и писать недостаточно. Вот почему я написал 775 не 765 . Я только что проверил этот сценарий сам, и он работает без проблем.
Bogdan 04 июнь 2015, в 10:37
0

Не могли бы вы обновить свой ответ, чтобы объяснить его более подробно, шаг за шагом? Я хочу, чтобы у моего веб-сервера /Documents было столько разрешений, сколько требуется. Я думаю, что 775 для всех файлов и папок слишком много, не так ли?
Robo Robok 04 июнь 2015, в 14:12
0

Плюс 775 нужен? Разве 770 недостаточно?
Robo Robok 04 июнь 2015, в 15:11
0

Посмотрите на этот ответ , он подробно объясняет, как вы должны подходить к загадке разрешений веб-сервера. Мне любопытно, а твой веб-сервер доступен удаленно? Потому что в противном случае нет реальной необходимости во всех этих ограничениях разрешений, если это локальный веб-сервер / сервер разработки.
Bogdan 05 июнь 2015, в 09:59
0

Мой веб-сервер недоступен удаленно, это просто моя локальная среда разработки. :)
Robo Robok 05 июнь 2015, в 14:58

Показать ещё 11 комментариев

9

При настройке разрешений для приложений Laravel мы сталкиваемся со многими крайними случаями. Мы создаем отдельную учетную запись пользователя (deploy) для владения папкой приложения Laravel и выполнения команд Laravel из CLI и запуска веб-сервера под www-data. Одна из проблем заключается в том, что файл журнала могут принадлежать www-data или deploy, в зависимости от того, кто первым ввел файл журнала, что явно не позволяет другому пользователю писать в него в будущем.

Я обнаружил, что единственным разумным и безопасным решением является использование списков ACL для Linux. Целью этого решения является:

Чтобы пользователь, которому принадлежит/развертывает приложение, читает и записывает доступ к коду приложения Laravel (мы используем пользователя с именем deploy).
Чтобы позволить пользователю www-data читать доступ к коду приложения Laravel, но не к доступу на запись.
Чтобы другие пользователи не имели доступа к коду/данным приложения Laravel вообще.
Чтобы позволить пользователю www-data и пользователю приложения (deploy) записывать доступ к папке хранилища, независимо от того, какой пользователь владеет этим файлом (так что оба deploy и www-data могут записывать в тот же журнал файл, например).

Мы выполняем это следующим образом:

Все файлы в папке application/ создаются с помощью umask по умолчанию 0022 по умолчанию, что приводит к папкам, имеющим разрешения drwxr-xr-x и файлы с -rw-r--r--.
sudo chown -R deploy:deploy application/ (или просто разворачивайте приложение как пользователь deploy, что мы и делаем).
chgrp www-data application/, чтобы предоставить группе www-data доступ к приложению.
chmod 750 application/, чтобы пользователь deploy читал/записывал пользователя www-data только для пользователей и удалял все разрешения для других пользователей.
setfacl -Rdm u:www-data:rwx,u:deploy:rwx application/storage/, чтобы установить разрешения по умолчанию для папки storage/ и всех подпапок. Любые новые папки/файлы, созданные в папке хранилища, наследуют эти разрешения (rwx для www-data и deploy).
setfacl -Rm u:www-data:rwX,u:deploy:rwX application/storage/, чтобы установить указанные разрешения для любых существующих файлов/папок.

Chris Schwerdt 21 дек. 2016, в 17:46

7

Как уже было опубликовано

Все, что вам нужно сделать, это передать права доступа к папкам Apache:

но я добавил -R для команды chown: sudo chown -R www-data:www-data /path/to/your/project/vendor sudo chown -R www-data:www-data /path/to/your/project/storage

Stanislav Potapenko 01 июнь 2016, в 16:46

2

Почему мы должны дать разрешение на каталог продавца? Хранение имеет смысл, писать в лог-файлы и т. Д. Но вендор? Зачем?
Ali Haris 18 сен. 2016, в 05:37
0

Как написано выше в некотором комментарии: «Однако и ваш компьютер, и ваш сервер Apache должны иметь возможность писать в эти папки. Например: когда вы запускаете такие команды, как php artisan, ваш компьютер должен записывать файл журнала в хранилище».
Stanislav Potapenko 15 нояб. 2016, в 15:32
0

Ошибка на mac: chown: www-data: недопустимое имя группы
Sunil Kumar 06 апр. 2018, в 08:55
0

Пожалуйста, смотрите stackoverflow.com/questions/8035939/…
Stanislav Potapenko 18 апр. 2018, в 15:16

Показать ещё 2 комментария

4

Большинство папок должны быть нормальными "755" и файлами "644"

Laravel требует, чтобы некоторые папки были доступны для записи для пользователя веб-сервера. Вы можете использовать эту команду для ОС на основе UNIX.

sudo chgrp -R www-data storage bootstrap/cache
sudo chmod -R ug+rwx storage bootstrap/cache

Siddharth Joshi 06 июнь 2017, в 13:39

3

Решение, отправленное bgles, для меня доступно с точки зрения правильной установки разрешений изначально (я использую второй метод), но у него все еще есть потенциальные проблемы для Laravel.

По умолчанию Apache создаст файлы с 644 правами доступа. Так что почти ничего в хранилище /. Итак, если вы удалите содержимое хранилища/фреймворка/представления, то доступ к странице через Apache вы увидите, что кешированный вид был создан как:

-rw-r--r-- 1 www-data www-data 1005 Dec  6 09:40 969370d7664df9c5206b90cd7c2c79c2

Если вы запустите "artisan serve" и получите доступ к другой странице, вы получите разные разрешения, потому что CLI PHP ведет себя иначе, чем Apache:

-rw-rw-r-- 1 user     www-data 16191 Dec  6 09:48 2a1683fac0674d6f8b0b54cbc8579f8e

Сам по себе это не имеет большого значения, так как вы не будете делать этого в производстве. Но если Apache создает файл, который впоследствии должен быть написан пользователем, он потерпит неудачу. И это может применяться к файлам кеша, кэшированным представлениям и журналам при развертывании с использованием зарегистрированного пользователя и мастера. Ярким примером является "ремесленный кэш: очистить", который не сможет удалить файлы кеша, которые являются www-данными: www-data 644.

Это может быть частично смягчено за счет запуска команд artisan в виде www-данных, поэтому вы будете делать/писать скрипты так:

sudo -u www-data php artisan cache:clear

Или вы избежите утомительности этого и добавьте это в свой .bash_aliases:

alias art='sudo -u www-data php artisan'

Это достаточно хорошо и никак не влияет на безопасность. Но на машинах разработки сценарии тестирования и санитарии делают это громоздким, если вы не хотите настраивать псевдонимы для использования "sudo -u www-data" для запуска phpunit и всего остального, что вы проверяете своими сборками, что может привести к созданию файлов.

Решение состоит в том, чтобы следовать второй части совета bgles и добавить следующее в /etc/apache 2/envvars и перезапустить (не перезагружать) Apache:

umask 002

Это заставит Apache создавать файлы по умолчанию 664. Само по себе это может представлять угрозу безопасности. Однако в средах Laravel, в основном обсуждаемых здесь (Homestead, Vagrant, Ubuntu), веб-сервер работает как пользовательские www-данные под групповыми www-данными. Поэтому, если вы не произвольно разрешаете пользователям вступать в группу www-data, не должно быть никаких дополнительных рисков. Если кому-то удастся вырваться из веб-сервера, у них есть уровень доступа к www-данным, так что ничего не потеряно (хотя это не лучшее отношение к тому, чтобы иметь отношение к безопасности, по общему признанию). Так что на производстве это относительно безопасно, и на однопользовательской машине разработки это просто не проблема.

В конечном счете, поскольку ваш пользователь находится в группе www-data, и все каталоги, содержащие эти файлы, являются g + s (файл всегда создается в группе родительского каталога), все, созданное пользователем или www-данными, будет r/w для другого.

И эта цель здесь.

изменить

При исследовании вышеописанного подхода к настройке разрешений он по-прежнему выглядит достаточно хорошо, но несколько настроек могут помочь:

По умолчанию каталоги составляют 775, а файлы - 664, а во всех файлах есть владелец и группа пользователей, которые только что установили фреймворк. Поэтому предположим, что мы начнем с этой точки.

cd /var/www/projectroot
sudo chmod 750 ./
sudo chgrp www-data ./

Первое, что мы делаем, это блокировать доступ ко всем остальным и сделать группу www-данными. Только владелец и члены www-данных могут получить доступ к каталогу.

sudo chmod 2775 bootstrap/cache
sudo chgrp -R www-data bootstrap/cache

Чтобы веб-сервер мог создавать services.json и compiled.php, как это предлагает официальное руководство по установке Laravel. Установка группового липкого бита означает, что они будут принадлежать создателю с группой www-данных.

find storage -type d -exec sudo chmod 2775 {} \;
find storage -type f -exec sudo chmod 664 {} \;
sudo chgrp -R www-data storage

Мы делаем то же самое с папкой хранилища, чтобы разрешить создание файлов кеша, журнала, сеанса и просмотра. Мы используем find, чтобы явно устанавливать разрешения на каталоги по-разному для каталогов и файлов. Нам не нужно было делать это в bootstrap/cache, поскольку там нет (обычно) любых подкаталогов.

Вам может потребоваться повторное использование любых исполняемых флагов и удаление поставщиков /* и переустановка зависимостей композитора для воссоздания ссылок для phpunit и др., например:

chmod +x .git/hooks/*
rm vendor/*
composer install -o

Что это. За исключением того, что umask для Apache объяснен выше, это все, что требуется, не делая всю проектную информацию, доступную для записи через www-data, что происходит с другими решениями. Таким образом, это немного более безопасно таким образом, что злоумышленник, работающий как www-data, имеет более ограниченный доступ на запись.

end edit

Изменения для Systemd

Это относится к использованию php-fpm, но, возможно, и к другим.

Стандартная служба systemd должна быть переопределена, umask установлен в файле override.conf, и служба перезагружена:

sudo systemctl edit php7.0-fpm.service
Use:
    [Service]
    UMask=0002
Then:
sudo systemctl daemon-reload
sudo systemctl restart php7.0-fpm.service

markdwhite 06 дек. 2016, в 04:08

2

Laravel 5.4 docs говорят:

После установки Laravel вам может потребоваться настроить некоторые разрешения. Каталоги в каталогах storage и bootstrap/cacheдолжен быть доступен для записи на вашем веб-сервере или Laravel не будет запускаться. если ты используют виртуальную машину Homestead, эти разрешения должны уже установлены.

На этой странице есть много ответов, в которых упоминаются разрешения 777. Не делай этого. Вы будете подвергать себя хакерам.

Вместо этого следуйте рекомендациям других о том, как устанавливать разрешения 755 (или более ограничительные). Возможно, вам придется выяснить, какой пользователь работает в вашем приложении, запустив whoami в терминале, а затем изменив право собственности на определенные каталоги, используя chown -R.

Если у вас нет разрешения на использование `sudo`, так как требуется много других ответов...

Ваш сервер, вероятно, является общим хостом, таким как Cloudways.

(В моем случае я клонировал приложение Laravel на второй сервер Cloudways, и он не работал полностью, потому что права на каталоги storage и bootstrap/cache были испорчены.)

Мне нужно было использовать:

Cloudways Platform > Server > Application Settings > Reset Permission

Затем я мог запустить php artisan cache:clear в терминале.

Ryan 26 май 2017, в 23:22

1

Я установил laravel на экземпляр EC2 и потратил 3 дня на исправление ошибки разрешения и, наконец, исправил его. Поэтому я хочу поделиться этим опытом с другим.

проблема пользователя Когда я вошел в экземпляр ec2, мое имя пользователя - ec2-user, а userergroup - ec2-пользователь. И сайт работает под пользователем httpd: apache: apache поэтому мы должны установить разрешение для apache.
папка и разрешение файла Структура папки A. во-первых, вы должны убедиться, что у вас есть такая структура папок, как это в хранилище

хранения
- рамки
  - кэш
  - сессии
  - вид
- журналы Структура папок может отличаться в зависимости от используемой вами версии laravel. моя версия laravel - 5.2, и вы можете найти соответствующую структуру в соответствии с вашей версией.

В. разрешение Сначала я вижу инструкции по установке 777 под хранилищем для удаления file_put_contents: не удалось открыть ошибку потока. Поэтому я устанавливаю разрешение 777 на хранение Хранилище chmod -R 777 Но ошибка не была исправлена. здесь вы должны рассмотреть один: кто пишет файлы для хранения/сеансов и представлений. Это не ec2-пользователь, а apache. Да, верно. Пользователь "apache" записывает файл (файл сеанса, скомпилированный файл просмотра) в папку сеанса и просмотра. Поэтому вы должны предоставить apache для записи разрешения на эту папку. По умолчанию: SELinux говорит, что папка /var/www должна быть доступна только для чтения от apache deamon.

Итак, для этого мы можем установить selinux как 0: setenforce 0

Это может решить проблему временно, но это делает mysql неработоспособным. поэтому это не очень хорошее решение.

Вы можете установить контекст чтения и записи в папку хранения с помощью: (помните, чтобы установить команду 1, чтобы проверить его)

chcon -Rt httpd_sys_content_rw_t storage/

Тогда ваша проблема будет исправлена.

и не забывайте об этом обновление композитора Кэш php artisan: clear

Эти команды будут полезны после или раньше.

Надеюсь, вы сэкономите свое время. Удачи. Hacken

Hacken Lee 15 июль 2017, в 11:42

0

Вы пытались вызвать скрипт командной строки с веб-сервера? У меня возникла проблема, поскольку он не печатает вывод
Volatil3 11 апр. 2018, в 10:48

1

Я решил написать свой собственный script, чтобы облегчить боль при настройке проектов.

Запустите следующее внутри корня проекта:

wget -qO- https://raw.githubusercontent.com/defaye/bootstrap-laravel/master/bootstrap.sh | sh

Дождитесь завершения загрузки, и вам будет хорошо.

Перед началом использования просмотрите script.

Jonathan 10 март 2017, в 22:50

0

У меня была следующая конфигурация:

NGINX (работает пользователь: nginx)
PHP-FPM

И правильно применил разрешения, как @bgies предложил в принятом ответе. Проблема в моем случае заключалась в том, что php-fpm настроил запущенного пользователя и группу, которые изначально были apache.

Если вы используете NGINX с php-fpm, вы должны открыть файл конфигурации php-fpm:

nano /etc/php-fpm.d/www.config

И замените значение user и group опций одним NGINX, настроенным для работы; в моем случае оба были nginx:

...; Unix user/group of processes; Note: The user is mandatory. If the group is not set, the default user group; will be used.; RPM: apache Choosed to be able to access some dir as httpd user = nginx; RPM: Keep a group allowed to write in log dir. group = nginx...

Сохраните его и перезапустите сервисы nginx и php-fpm.

Amirreza Nasiri 08 нояб. 2018, в 14:33

0

Добавить в composer.json

"scripts": {
...
"post-install-cmd": [
      "chgrp -R www-data storage bootstrap/cache",
      "chmod -R ug+rwx storage bootstrap/cache"
    ]
...
}

После composer update

Davron Achilov 09 окт. 2018, в 09:08

0

Это плохой ответ. Вам никогда не нужно использовать 777 для любой папки, если вы правильно настроили веб-сервер. Использование 777 открывает ваш сервер для любого хакера, чтобы загрузить файл и выполнить указанный файл, если они знают, где находится папка.
mbozwood 09 нояб. 2018, в 09:34
0

Хорошо. Что вы предлагаете?
Davron Achilov 09 нояб. 2018, в 11:50
0

И если так, будет ли это правильно? chown -R $ USER: хранилище www-данных, chown -R $ USER: загрузчик www-данных / кеш
Davron Achilov 09 нояб. 2018, в 11:52
0

Смотрите правильный ответ, он содержит всю необходимую информацию, которую вы можете абсолютно обязательно поместить в пост-обновление :)
mbozwood 09 нояб. 2018, в 13:19
0

Да я не видел.) Спасибо
Davron Achilov 09 нояб. 2018, в 13:45

Показать ещё 3 комментария

-2

Я нашел еще лучшее решение. Это вызвано тем, что по умолчанию php работает как другой пользователь.

поэтому, чтобы исправить это,

sudo nano /etc/php/7.0/fpm/pool.d/www.conf

затем отредактируйте user = "put user that owns the directories" group = "put user that owns the directories"

то

sudo systemctl reload php7.0-fpm

cecil merrel aka bringrainfire 18 окт. 2017, в 23:56

0

Если посетителю веб-страницы удастся вырваться из веб-сервера, у него теперь будут права доступа «пользователя, которому принадлежат каталоги». Если этот пользователь имеет www-данные, он может нанести ограниченный ущерб, и поэтому apache работает как пользователь с ограниченными правами. Если этот пользователь не ограничен, он может нанести больше урона. Если этот пользователь имеет права sudo, он может нанести гораздо больший ущерб.
markdwhite 15 нояб. 2017, в 04:09
0

То же самое относится и к Apache. Кстати, я бегу nignx, как большой мальчик сейчас
cecil merrel aka bringrainfire 15 нояб. 2017, в 17:31

Ещё вопросы

Я думаю, что 777 - это слишком большая свобода, потому что он включает в себя все разрешения для всех.
Из документации Laravel: каталоги в storage и каталоги bootstrap/cache должны быть доступны для записи на вашем веб-сервере
используйте fcgi и вы можете 755/644 для всех (включая public / storage)
@jww согласен, можем ли мы перенести вопрос на сервер, вместо того чтобы поставить его на удержание?
+1 Мне нравится такой подход. Но я считаю, что команды chown должны включать флаг -R. Кроме того, в laravel 5.1 и 5.2 вместо каталога vendor вы должны предоставить доступ к каталогу bootstrap / cache.
Есть ли способ проверить, будет ли это работать нормально? Я имею в виду, если новый файл журнала будет создан в директории storage / logs, у которого будут правильные разрешения, как я могу это проверить?
Когда я предоставляю dseditgroup предоставленную вами, я получаю сообщение об ошибке: Username and password must be provided. dseditgroup Username and password must be provided. ,
Моя ошибка: вам нужно запустить эту команду с пользователем, имеющим соответствующие разрешения, поэтому просто добавьте sudo в начале.
Так нужно ли мне менять владельца этих файлов на _www:_www или myuser:_www ?
Вы можете оставить его _www:_www , потому что 775 означает, что любой пользователь в группе _www будет иметь полные права на чтение / запись / просмотр в этой папке, и вы просто добавили свое имя пользователя в эту группу.
Не могли бы вы сказать мне одну вещь? Что значит chown myuser:_www ? Я знаю, что первый - это пользователь, а второй - это группа, но означает ли это «этот пользователь и кто-либо из этой группы» или «этот пользователь, но только если он принадлежит этой группе»?
Любой пользователь в группе _www будет иметь полные права на чтение / запись / выполнение в этой папке.
Итак, я попробовал chmod go-rwx на одной папке. Он установил права на чтение / запись для группы _www и не имел доступа для everyone . Несмотря на то, что я сейчас принадлежу к группе _www , я не могу получить доступ к этим файлам из Finder. Это почему?
Если я оставлю владельца на _www:_www , я не смогу внести какие-либо изменения в Finder без ввода пароля.
Вам также необходимо установить разрешения на выполнение для группы в данном каталоге, чтобы иметь правильный доступ к ней. Читать и писать недостаточно. Вот почему я написал 775 не 765 . Я только что проверил этот сценарий сам, и он работает без проблем.
Не могли бы вы обновить свой ответ, чтобы объяснить его более подробно, шаг за шагом? Я хочу, чтобы у моего веб-сервера /Documents было столько разрешений, сколько требуется. Я думаю, что 775 для всех файлов и папок слишком много, не так ли?
Плюс 775 нужен? Разве 770 недостаточно?
Посмотрите на этот ответ , он подробно объясняет, как вы должны подходить к загадке разрешений веб-сервера. Мне любопытно, а твой веб-сервер доступен удаленно? Потому что в противном случае нет реальной необходимости во всех этих ограничениях разрешений, если это локальный веб-сервер / сервер разработки.
Мой веб-сервер недоступен удаленно, это просто моя локальная среда разработки. :)
Почему мы должны дать разрешение на каталог продавца? Хранение имеет смысл, писать в лог-файлы и т. Д. Но вендор? Зачем?
Как написано выше в некотором комментарии: «Однако и ваш компьютер, и ваш сервер Apache должны иметь возможность писать в эти папки. Например: когда вы запускаете такие команды, как php artisan, ваш компьютер должен записывать файл журнала в хранилище».
Ошибка на mac: chown: www-data: недопустимое имя группы
Пожалуйста, смотрите stackoverflow.com/questions/8035939/…
Вы пытались вызвать скрипт командной строки с веб-сервера? У меня возникла проблема, поскольку он не печатает вывод
Это плохой ответ. Вам никогда не нужно использовать 777 для любой папки, если вы правильно настроили веб-сервер. Использование 777 открывает ваш сервер для любого хакера, чтобы загрузить файл и выполнить указанный файл, если они знают, где находится папка.
И если так, будет ли это правильно? chown -R $ USER: хранилище www-данных, chown -R $ USER: загрузчик www-данных / кеш
Смотрите правильный ответ, он содержит всю необходимую информацию, которую вы можете абсолютно обязательно поместить в пост-обновление :)
Если посетителю веб-страницы удастся вырваться из веб-сервера, у него теперь будут права доступа «пользователя, которому принадлежат каталоги». Если этот пользователь имеет www-данные, он может нанести ограниченный ущерб, и поэтому apache работает как пользователь с ограниченными правами. Если этот пользователь не ограничен, он может нанести больше урона. Если этот пользователь имеет права sudo, он может нанести гораздо больший ущерб.
То же самое относится и к Apache. Кстати, я бегу nignx, как большой мальчик сейчас

bgies · Accepted Answer · 2016-05-17T04-20-00.000Z

Просто констатирую очевидное для любого, кто просматривает это обсуждение... если вы дадите 777 разрешений для любой из ваших папок, вы позволите ЛЮБОМ прочитать, записать и выполнить любой файл в этом каталоге... что это означает, что вы дали ЛЮБОМУ (любому хакеру или злоумышленнику во всем мире) разрешению загружать ЛЮБОЙ файл, вирус или любой другой файл, и ТОГДА выполнять этот файл...

ЕСЛИ ВЫ УСТАНАВЛИВАЕТЕ НАШИ ПАПКИ РАЗРЕШЕНИЯ НА 777, ВЫ ОТКРЫЛИ СВОЙ СЕРВЕР ДЛЯ ТОГО, ЧТО МОЖЕТ НАЙТИ ЭТУ ДИРЕКТОРИЮ. Достаточно ясно??? :)

Есть два основных способа настройки вашего владельца и прав доступа. Либо вы предоставляете себе право собственности, либо вы делаете веб-сервер владельцем всех файлов.

Веб-сервер как владелец (так, как большинство людей делают это, и способ документа Laravel):

предполагая, что www-data (это может быть что-то еще) является вашим пользователем веб-сервера.

   sudo chown -R www-data:www-data /path/to/your/laravel/root/directory

если вы это сделаете, веб-сервер владеет всеми файлами, а также является группой, и у вас возникнут некоторые проблемы с загрузкой файлов или работой с файлами через FTP, поскольку ваш FTP-клиент будет входить в систему как вы, а не как веб-сервер, поэтому добавьте Ваш пользователь в группе пользователей веб-сервера:

  sudo usermod -a -G www-data ubuntu

Конечно, это предполагает, что ваш веб-сервер работает как www-data (по умолчанию Homestead), а ваш пользователь - Ubuntu (это бродит, если вы используете Homestead).

Затем вы устанавливаете все свои каталоги на 755, а ваши файлы на 644... УСТАНОВИТЬ разрешения для файлов

sudo find /path/to/your/laravel/root/directory -type f -exec chmod 644 {} \;

УСТАНОВИТЬ разрешения каталога

sudo find /path/to/your/laravel/root/directory -type d -exec chmod 755 {} \;

Ваш пользователь как владелец

Я предпочитаю владеть всеми каталогами и файлами (это значительно облегчает работу со всем), поэтому я делаю:

sudo chown -R my-user:www-data /path/to/your/laravel/root/directory

Затем я даю разрешения и себе, и веб-серверу:

sudo find /path/to/your/laravel/root/directory -type f -exec chmod 664 {} \;    
sudo find /path/to/your/laravel/root/directory -type d -exec chmod 775 {} \;

Затем дайте веб-серверу права на чтение и запись в хранилище и кеш

Каким бы способом вы ни настроили его, вам нужно дать разрешения на чтение и запись для веб-сервера для хранения, кэширования и любых других каталогов, которые веб-сервер также должен загружать или записывать (в зависимости от вашей ситуации), поэтому выполните команды из bashy выше:

sudo chgrp -R www-data storage bootstrap/cache
sudo chmod -R ug+rwx storage bootstrap/cache

Теперь вы в безопасности, и ваш сайт работает, и вы можете работать с файлами довольно легко

Отличный пример, если нет пользователя www-data, используйте apache: apache вместо www-data (в некоторых дистрибутивах)
Я думаю, что люди неправильно понимают концепцию « anyone . anyone флаг Linux означает любого пользователя , а не человека. Вам все еще нужен доступ к серверу.
@DenisSolakovic, я не понимаю, что такое www-данные? Пользователь или группа? Я использую Ubuntu и Xampp. Какие у меня www-данные?
@ andreshg112 Первые www-данные - это имя пользователя, а вторые www-данные - это имя группы. Таким образом, это означает, что владельцем является apache и (this-group) apache. Используйте www-data: www-data или добавьте своего пользователя в эту группу. (CLI: useradd -G {имя-группы} username), а затем вы можете указать имя пользователя: www-group
@bgies: Большое спасибо за хорошую информацию. Вопрос, вы упомянули, что предпочитаете свой второй пример, один более защищенный, чем другой, 755 , 644 против 775 , 664 ? Кроме того, если вы выберете второй метод, вам действительно нужно запускать команды, предложенные bashy? Еще раз большое спасибо.
@fs_tigre Я не думаю, что для безопасности вообще есть какая-то разница ... за исключением того, что я предполагаю, что есть два пользователя, для которых вместо одного нужно угадать пароли, и, конечно, я все время захожу в систему со своей учетной записью, так что если Я сделал это небезопасным способом (нормальный FTP и, например, используя пароль), это могло скомпрометировать сайт, но я вхожу только через Putty и SSH, а когда я использую FTP, это SFTP, так что никаких проблем нет. Команды, предложенные bashy, рекомендуются, потому что они устанавливают бит закрепления, поэтому, если ваш веб-сервер создает подкаталоги, они будут иметь того же владельца / разрешения, что и родительский.
При первом способе пользователь не сможет загрузить файлы, поскольку вы не дали разрешение на write для группы?
Также я попытался вторым способом, но когда я touch нового файла, будь то обычный пользователь или www-data , новый файл, похоже, не наследует разрешение ..?
действительно ли sudo chgrp -R www-data storage bootstrap/cache действительно полезна после выполнения sudo chown -R my-user:www-data /path/to/your/root/directory ?
@bgies Что вы подразумеваете под /path/to/your/root/directory ? Это public каталог приложения Laravel, который установлен в качестве корневого каталога для виртуального хоста? или это сам корневой каталог приложения Laravel, т.е. что там есть?
@SaidbakR Корневой каталог приложения Laravel для chown, потому что большинство (все?) Файлов Laravel не находятся в публичном каталоге
Я получаю эту ошибку production.ERROR: UnexpectedValueException: The stream or file "/var/www/html/laravel/storage/job/248/import.log" could not be opened: failed to open stream: Permission denied in /var/www/html/laravel/bootstrap/cache/compiled.php
Я обнаружил проблему ... это был мой cronjob для atisan, мне пришлось установить cronjob с правами root, такими как sudo -i а затем crontab -e
Этот ответ должен быть в официальной документации Laravel, сразу после вводного раздела.
Спасибо за это. Просто просьба: не могли бы вы добавить примечание, чтобы упомянуть, что в CentOS 7 пользователь не «www-data», а «apache».
@bgies Я использую Laravel 5.5 .. пытаюсь следовать вашим инструкциям, но кое-что из-за того, что Laravel не может выполнить Python, но получает ошибку Permission Denied.
В разделе «Ваш пользователь как владелец» я думаю, что мы можем пропустить sudo chgrp -R www-data storage bootstrap/cache потому что это уже сделано.
@bgies Спасибо за ответ +1! У меня есть вопрос, пожалуйста. Когда создается новый файл журнала, владельцем файла является www-data: www-data .. как я могу автоматически установить для него значение <my-user>: www-data, как вы упомянули в разделе «Ваш пользователь как владелец» ( Как хорошо файл разрешения)?
Не запускайте sudo find /path/to/your/laravel/root/directory -type f -exec chmod 664 {} \; ! После этого вы не сможете запускать какие-либо команды из командной строки (например, все в vendor/bin/ )! Теперь мне нужно решить, как заставить Laravel снова работать из командной строки.
Я сделал то же самое для папки хранения, чтобы заставить laravel, запущенный sudo find/path/to/your/laravel/root/directory/storage/ -type f -exec chmod 664 {} \; sudo find /path/to/your/laravel/root/directory/storage/ -type d -exec chmod 775 {} \;
@ Фахми Это тоже должно быть 664, верно? В настоящее время я не могу загружать файлы через FTP, если права доступа установлены на 644. Это опечатка?

Как настроить права доступа к файлам для Laravel 5 (и других)

13 ответов

Laravel 5.4 docs говорят:

Если у вас нет разрешения на использование sudo, так как требуется много других ответов...

Ещё вопросы

Если у вас нет разрешения на использование `sudo`, так как требуется много других ответов...