У меня есть вопрос о веб-сервере, особенно о PHP / Apache Server.
Разработчик сказал мне и моим коллегам, что сегодня плохо помещать наш веб-каталог в каталог WWW, потому что он не защищен (хакеры знают, где искать).
Он сказал нам, что только плохие разработчики помещают свои файлы в этот каталог.
Но мы должны поместить их в другой каталог.
Это правда??
Это безопасность по неизвестности. В здравой установке с соответствующими правами доступа, хакер woudn't даже в вашей файловой системе. Если бы он был и ваша система была взломана, он мог бы просто взглянуть на файлы конфигурации вашего веб-сервера.
Хорошие основы всегда хороши - есть причина, по которой веб-серверы работают как определенные пользователи (www-data), вы всегда должны отключать root ssh-доступ (и пытаться работать как обычный пользователь с минимальным использованием sudo), давать файлам минимальное разрешение настройки нужны и тд.
Наклеивание файлов за пределы стандартного /var /www кажется мне грузом. Есть много причин делать что-то другое (некоторые дистрибутивы используют /srv /www, я думаю), и иногда наличие отдельной папки на веб-приложение - хорошая идея для удобства сопровождения. Иногда у меня есть приложения, которые запускают свои собственные серверы, например, и они не принадлежат /var /www - скажем, что-то, что запускает django, будет запускаться в своем собственном каталоге, но это главным образом для удобства обслуживания и приводит к тому, что мой основной веб-сервер не работает не нужно видеть эти файлы
Я бы попросил разработчика объяснить, почему это так или иначе, просто для смеха.
