13 февраля 2019 в 10:54
Всем приветик)))
Столкнулась с таким предупреждением в модуле Security Review *Some files and directories in your install are writable by the server.* Почитала описание через переводчик и так как я поняла, то практически на всех файлах, которые находятся в /modules и /libraries нужно выставить права доступа 644.
И вот сначала я попыталась поставить сразу на папки /modules и /libraries права 644, сайт выдал ошибку Fatal error: Call to undefined function user_access() in /home/myhosting/site.com/www/includes/menu.inc on line 645.
Потом пробовала выставлять отдельно на файлы в папках /modules и /libraries, но там права доступа выставил хостинг 640, и они не меняются.
Потом пишу в хостинг, об предупреждении в модуле Security Review насчет прав доступа 644, они мне ответили, что у них на все папки стоит 750, а на файлы 640 и это очень даже безопасно!
Вот вопрос, кто прав, модуль Security Review или Хостинг?
Хотя если выставить все так как говорит Security Review, то сайт вообще не отображается...
Комментарии
Не думаю, что он советует ставить 644 на каталоги. Этого делать не нужно.
Всё именно так
Security Review даёт вам рекомендации. Но нужно понимать что вы делаете и зачем. Если не понимаете чем отличается 640 от 644, то тут гугл очень поможет
644 (-rw-r-r-)
Все пользователи имеют право чтения; владелец может редактировать
тогда 640 , все тоже самое, только другие читать не могут, так как 4 это чтение другими
Правильно поняла ?
Да, причем эти "другие" и не должны ничего с вашими файлами делать, т.к. работать с файлами сайта должен только их владелец (вебсервер, пользователь shared хостинга и тд).
644 - это рекомендованные права на файлы, но можно сделать и 640, как делает ваш хостер
Хостинг даже лучше делает )))
Теперь я поняла, Security Review просто увидел другую цифру, не 644, а 640, и эта цифра не сошлась с правилом модуля, потому и ошибка...
Я вот эти файлы (как гугл говорил) - settings.php поставила на 440, а .htaccess 444, все остальное 640, это правильно?
Да, модуль просто не знает, что можно по другому)
Друпал сам ставит права на settings.php (снимает право на запись), вручную это можно не делать
СПАСИБОЧКИ ))))))
Нашла https://tyapk.ru/blog/post/drupal-files-folders-permissions
И как обычно, там написано, на самом деле, не то, что вам надо делать в вашем произвольном случае, а что надо было делать автору этого howto в его конкретном случае, и не слова о границах применимости.
В разных окружениях всё может быть очень по разному...
Не читайте такое, а читайте документацию о правах доступа в Linux, ну или о как-то другой проблеме с которой вы встречаетесь. А о вот таких готовых рецептах "сделай так" просто забудьте вообще.
По ним даже особо научиться ничему нельзя - в них только обрывки решений, совершенно не понятно почему принятых.