Linux PHP创建文件权限被拒绝

Question

我在 Ubuntu 上工作，并试图让一个 PHP 脚本工作，它允许用户输入一个 Youtube 视频 URL，该脚本将下载 flv 并使用 youtube2mp3 转换它（我在这里找到：http://hubpages.com/hub/Youtube-to-MP3-on-Ubuntu-Linux） .我遇到了一些我确定是基于权限的错误，我想知道纠正它们的最佳和最安全的方法。我现在正在打电话

echo system("youtube-dl --output=testfile.flv --format=18 $url");

只是为了尝试让下载部分正常工作。以下页面显示的是

[youtube] Setting language
[youtube] xOMEi2g_oEU: Downloading video webpage
[youtube] xOMEi2g_oEU: Downloading video info webpage
[youtube] xOMEi2g_oEU: Extracting video information
[youtube] xOMEi2g_oEU: Extracting video information

在显示我的其余（不相关）输出之前。在 apache 错误日志中，我得到了

ERROR: unable to open for writing: [Errno 13]
    Permission denied: u'testfile.flv.part'

这显然表明存在权限问题。我是否必须将有问题的目录提供给 www-user？那安全吗？或者我应该改为 chmod 目录？最终，我会将它放在面向公众的服务器上，并且我不希望在我的实现中出现任何漏洞。非常感谢任何和所有的建议和答案！

Answer 1

这是作为运行 php 进程的用户运行的，所以有两件事：

1. 确保该用户有权访问您将测试文件写入的目录。我会指定一个独立的路径，而不是它现在似乎正在执行的 Web 服务器目录结构的一部分
2. $url 是否来自用户输入？如果是，我会在整个字符串上使用escapeshellcmd，以确保其中没有随机的rm -rf * 命令。

Answer 2

chown 只能由超级用户使用，因此如果方便，您可以使用它，但服务器通常不会以超级用户身份运行，所以我会选择 chmod。

Answer 3

@Wes 的两个建议都值得关注；您不希望某些傻瓜提供像 ||nc -l 8888 | sh & 这样的 url 并在一秒钟后登录到您的系统。

我强烈建议使用AppArmor、SElinux、TOMOYO 或SMACK 等工具来限制您的配置。这些mandatory access control 工具中的任何一个都可以阻止应用程序在特定位置写入、执行任意命令、读取私有数据等。

我在 AppArmor 系统上工作了十年，这是我最熟悉的；我相信您可以在半天左右的时间内完成部署的配置文件。 （这需要我大约十到十五分钟，但就像我说的，我已经在 AppArmor 上工作了十年。:)