[請教]phpbb的檔案和目錄權限在哪能找到？

[哈啦]

我翻了一下phpbb的檔案中，沒有發現能參考各目錄及檔案應有權限的資料，請問有人知道在哪裡能找得到嗎？

謝謝先。

[seesawgame]

小弟也找不到，不過幫哈啦大去竹貓發問了
就看有沒有熱心的大大出現解答了
http://phpbb-tw.net/phpbb/viewtopic.php?p=193442#193442

[Ricado]

引用:

作者: 哈啦

我翻了一下phpbb的檔案中，沒有發現能參考各目錄及檔案應有權限的資料，請問有人知道在哪裡能找得到嗎？

謝謝先。

哈大，vBB的問題結果怎麼樣，有沒有人幫忙回覆？

[licheng]

哈拉站長有沒有參考過 phpBB2 的安裝說明文件？

下載 phpBB2 的檔案解開後，有一個名稱為 docs 的目錄，裡頭有一個檔案 INSTALL.html。其中就有一段

8. Important (security related) post-Install tasks for all installation methods

不妨先參考一下。

[哈啦]

引用:

INSTALL.html。其中就有一段

8. Important (security related) post-Install tasks for all installation methods

看過了，不過裡面好像是告訴你在avatar的目錄要打開權限好讓會員能夠自由的上傳頭像之類的。並未提到各目錄檔案的權限。

[licheng]

引用:

作者: 哈啦

不過裡面好像是告訴你在avatar的目錄要打開權限好讓會員能夠自由的上傳頭像之類的。並未提到各目錄檔案的權限。

如果沒有提，那麼，就不需要額外更改檔案權限。

通常在 Unix/Linux 底下，會有一個預設的權限，沒有特別提及，使用預設權限即可。

當然，使用者可以更動自己目錄下的每一個目錄的權限。不過，在 Unix/Linux 底下，通常都是假設使用者的權限，是預設值，而在這個預設值的條件下，使用者的安全，是受作業系統保障的，無須額外設定。如果使用者使用預設值而發生安全問題，這個責任是在作業系統本身，或是系統管理者，不在使用者。

因此，類似安裝 forum 之類的程式，如果沒有特別提及，無須更動目錄權限。

有些目錄權限還得看系統是怎麼設定的。譬如 Apache，Apache 啟動時，是以什麼樣的身分啟動，跟使用者是否屬於同一個 group，也會影響目錄權限的設定。MySQL 也是如此。這方面，就得請教系統管理者，只有他最清楚系統的環境設定。

PS.
如果 MySQL 是以 root 的身分啟動，而且該刪除的預設使用者沒有刪除，那麼，使用該 MySQL 的用戶，基本上，就是暴露在危險之中。而這方面，使用者根本使不上力，更改目錄權限也沒用。責任完全在系統管理者。

[哈啦]

問題是，我上傳整個論壇目錄到虛擬主機時，為了安裝方便，都會開啟一些目錄的權限，以免安裝時一直出錯。
所以後來就搞不清楚什麼是什麼了

[some]

目錄預設是755 才是
需要寫入檔案的所在目錄才設 777

話說回來, 如果檔案目錄權限沒設好就有漏洞 是這樣嗎?
那整台 window 都是漏洞, 因為 window 系統不用設

[licheng]

引用:

作者: 哈啦

我上傳整個論壇目錄到虛擬主機時，為了安裝方便，都會開啟一些目錄的權限，以免安裝時一直出錯。

這樣就危險了... 。

最多就是，將原有目錄的檔案全部下載到硬碟，再全部上傳到虛擬主機，然後，依照安裝說明，更動應該更動的目錄或檔案權限，這樣就恢復成預設值了。

[licheng]

引用:

作者: some

話說回來, 如果檔案目錄權限沒設好就有漏洞 是這樣嗎?
那整台 window 都是漏洞, 因為 window 系統不用設

我對 Windows 不是很熟悉。 ?

也有在 Windows 底下架設 CMS, forum, blog。不過，大概使用 Unix/Linux 先入為主的觀念使然，一些目錄權限，特別是 MySQL 跟 Apache 之類的，該怎麼辦，到現在還是有一點兒似懂非懂。