Права на файлы
Урок
47
из
292
Сложность урока:
3 уровень — средняя сложность. Необходимо внимание и немного подумать.
3 из 5
Дата изменения:
07.02.2023
Просмотров:
59583
Права на файлы
Дать универсальный ответ, какими должны быть права на файлы, нельзя, так как каждый хостинг настроен по-своему.
Результат должен быть таким: для пользователя, под которым запущен Apache, нужны права на чтение/запись на все файлы и папки, начиная от корня сайта. При этом на разделяемом хостинге другие пользователи на этой же машине не должны иметь права читать/изменять ваши файлы. Также желательно, чтобы файлы, закачанные по FTP, могли быть перезаписаны из скрипта.
Проблема в том, что у каждого хостинг-провайдера своя политика безопасности и свои настройки: одни ограничивают доступ к чужим файлам даже при праве доступа
777
Чтение/Запись/Исполнение для всех
, другие запускают процесс Apache под своим пользователем для каждого виртуального хоста, и т.д.
Поэтому вопрос необходимо решать с хостинг-провайдером.
Проблемы с неправильными
правами и их решение
Unix/Linux — многопользовательская система, это значит, что в системе одновременно могут работать несколько пользователей в своих папках со своими файлами. Соответственно, разные пользователи имеют разные права на доступ к файлам и папкам.
Для загрузки файлов по FTP и работы с ними через веб-интерфейс используются разные программы (ftp клиент и веб-сервер), и для операционной системы это разные пользователи.
Для решения проблемы взаимной записи необходимо установить специальные права на файлы и папки (требуемые права зависят от того, под какими пользователями работают ftp клиент и веб-сервер, к каким группам принадлежат).
Внимание! На каждом хостинге эта настройка специфическая, подробности вы можете узнать у своего хостера.
Наиболее часто встречаемые проблемы, связанные с правами на файлы и папки:
-
При изменении файлов через FTP не удается сохранить изменения
-
Файлы загружаются через ftp, но при попытке их изменения в продуктах Bitrix Framework появляется ошибка записи
Примечание: Установка прав через клиент ftp с поддержкой рекурсивного изменения прав на папки не является хорошим вариантом. Потому что, например, для изменения прав на 100 файлов потребуется отправить специальную команду как минимум 100 раз (если есть подпапки — то ещё и для них). В дополнение к этому передаётся еще и множество служебной информации. В итоге эта операция может занять довольно продолжительное время даже при хорошем канале Интернет.
Обратите внимание:
- чтобы избежать проблем с правами при установке продукта — лучше всего воспользоваться скриптом BitrixSetup. Он скачает и распакует дистрибутив с нашего сайта, при этом файлы будут принадлежать веб-серверу и проблем при работе не возникнет;
- ftp и ssh сервисы в большинстве случаев позволяют авторизоваться под одним и тем же пользователем, значит можно закачать файл через ftp, а изменить права через ssh;
- пользователь может изменить права только на свои файлы. Это значит, что если вы не можете изменить файл непосредственно в системе, то не стоит пытаться применять веб скрипт. Права необходимо изменять через ftp/ssh. И наоборот;
- панель управления на хостинге чаще всего с целью безопасности работает под третьим пользователем, поэтому в борьбе с правами она скорее всего не поможет.
Установка прав на создаваемые
Bitrix Framework файлы
Права, с которыми создаются файлы и папки, вы можете установить в файле /bitrix/php_interface/dbconn.php:
define("BX_FILE_PERMISSIONS", 0644);
define("BX_DIR_PERMISSIONS", 0755);
В Битрикс есть два уровня разграничения прав доступа:
- Доступ на файлы и каталоги.
- Права в рамках логики модуля.
Доступ на файлы и каталоги
Этот уровень прав проверяется в прологе, задается с помощью специального файла .access.php, содержащего массив следующего формата:
$PERM["файл/каталог"]["группа-пользователей"] = "право-доступа";
файл/каталог— имя файла или каталога, для которых назначаются права доступа;группа-пользователей— идентификатор группы пользователей, на которую распространяется данное право (допустимо использование символа*, что означает — для всех групп);право-доступа— поддерживаются следующие значения (в порядке возрастания):D— запрещён (при обращении к файлу доступ будет всегда запрещён);R— чтение (при обращении к файлу доступ будет разрешен);U— документооборот (файл может быть отредактирован в режиме документооборота);W— запись (файл может быть отредактирован непосредственно);X— полный доступ (подразумевает право на запись и модификацию прав доступа).
Если пользователь принадлежит нескольким группам, то берется максимальное право из всех прав доступа заданных для этих групп. Если для текущего файла или каталога явно не задан уровень прав, то берется уровень прав заданный для вышележащих каталогов.
Пример
<?php /* * Файл /dir/.access.php */ $PERM["index.php"]["2"] = "R"; $PERM["index.php"]["3"] = "D";
При попытке открытия страницы /dir/index.php пользователь, принадлежащий группе ID=3, будет иметь право доступа D (запрещено), пользователь из группы ID=2 будет иметь право R (чтение). Пользователь, принадлежащий обеим группам, будет иметь максимальный уровень доступа — R (чтение).
Пример
<?php /* * Файл /.access.php */ $PERM["admin"]["*"] = "D"; $PERM["admin"]["1"] = "R"; $PERM["/"]["*"] = "R"; $PERM["/"]["1"] = "W";
<?php /* * Файл Файл /admin/.access.php */ $PERM["index.php"]["3"] = "R";
При доступе к странице /admin/index.php пользователь, принадлежащий группе ID=3, будет иметь доступ, а пользователю, принадлежащему группе ID=2, будет в доступе отказано. При доступе к странице /index.php все посетители будут иметь доступ.
Права в рамках логики модуля
Если речь идет об обычных статичных публичных страницах, то к ним применяется только первый уровень доступа на файлы и каталоги.
Если пользователь имеет на файл как минимум право R (чтение) и если данный файл является функциональной частью того или иного модуля, то проверяется 2-ой уровень прав, задаваемый в настройках соответствующего модуля.
Например, при заходе на страницу «Список обращений» в техподдержке: администратор видит все обращения, сотрудник техподдержки — только те, за которые он ответственнен, а обычный пользователь — только свои обращения. Так работает право доступа в рамках логики модуля «Техподдержка».
Поиск:
.access.php • CMS • Web-разработка • Битрикс • Директория • Права доступа • Раздел сайта • Страница сайта • Файл • Настройка
Каталог оборудования
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.
Производители
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.
Функциональные группы
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.
Мы начинаем разбирать довольно интересную тему как Права доступа в 1С Битрикс. Это поможет нам гибко настраивать права на просмотр и редактирование различных материалов на сайте, практически можем реализовать любой сценарий который захотим.
В данном видео уроке разберем общие понятия, что такое Право доступа в 1С Битрикс, как устроены права доступа в самой системе и подчеркнем общие рекомендации по их настройкам.
Всем нам приходится часто публиковать какой то материал на сайте, возможно новостная статья, ведем свой блог или публикуем последние новости для пользователей. В некоторых случаях показывать статью в сыром виде не всегда удобно. Возможно, вы хотите сами ее посмотреть, как она отображается в браузере и только в дальнейшем ее показать аудитории. В данном уроке на практическом примере разберем такой часто встречающий сценарий, покажу, как настроить отображения публикуемой новости только для определенных групп пользователей.
Поскольку на сайте присутствуют разные типы информации как статическая и динамическая то управления правами доступа рассмотрим в разных уроках для удобного его восприятия и более структурированного преподнесения его вам.
Определение:
Право доступа – набор правил, определяющих, каким уровнем доступа обладает та или иная группа пользователей. Права доступа обладают свойством «наследования», то есть если для текущего раздела/страницы явно не задан уровень прав, то устанавливается то право, которое задано для вышележащего раздела.
Мы все прекрасно понимаем, что на сайте под управлением битрикс вся информация разделяется на две части статическая и динамическая, а также имеется визуальная и административная часть сайта. От того какие вы хотите назначить права зависят методы их реализации.
Напомню что статическая информация это созданный файл в папке сайта, содержимое которого выводится в визуальной его части. Динамическая информация находится в базе данных, и содержимое ее отображается с помощью компонентов.
Система битрикс позволяет устанавливать права доступа отдельно как на статические страницы и разделы сайта, так назначать права для динамической информации. Один из простых примеров, можем назначить не авторизованному пользователю просмотр страниц с рекламой присутствующей на сайте, в то время как он авторизуется вся реклама у него пропадает, или одним группам пользователям показывать ленту новостей остальным можно ограничить просмотр неких разделов.
Для пользователей имеющие право администрирование сайта в битриксе можно задавать права только на чтение или изменение каких-либо отдельных страниц или разделов. Также возможно распределение прав на управление модулями и дополнительным внутренним функционалом сайта.
Само управление правами доступа складывается из суммы уровней как по принципу наследования, уровень доступа к странице, к модулю, инфоблоку и так далее.
Настройка прав доступа к элементу новостей
Давайте для примера рассмотрим простой сценарий, когда требуется перед публикацией новости или любой динамической информации не показывать ее пользователям включая и тех кто авторизован.
На примере добавим новость в инфоблок новостей и настроим права ее просмотра только администраторам сайта.
Для начала мы сразу отметим, что эта информация динамическая, так как материалы находятся в базе данных и выводятся при помощи компонентов. Для разграничения прав к данному инфоблоку нам необходимо работать с административной частью сайта.
Перейдем в административный раздел, инфоблок новости, выберем вкладку «Права». В данной вкладке представлены настройки прав к инфоблоку новостей. Для того чтобы управлять правами в новостях нужно отметить «Расширенное управление правами» и нажмем сохранить.
Далее переходим в наши новости, жмем кнопку добавить, открывается карточка новости, но в ней мы не видим функционала по управлению правами доступа.
Давайте его добавим, перейдем в настройки формы и тут видим, благодаря тому, что активировали в инфоблоке «Расширенное управление правами» появилась вкладка «Доступ», добавляем ее в наши вкладки и сохраняемся.
Наполним содержанием нашу новость, перейдем на доступ, жмем добавить, выбираем пункт «Другое», и добавляем группы (Все посетители, Все авторизованные пользователи), жмем кнопку выбрать, сохраняем новость.
Далее на вкладке установим права для этих груп «Нет доступа» и сохранимся.
Откроем страницу с новостями в разных браузерах, в одном будем просматривать ее как администратор, в другой как простой пользователь. Как вы заметили все работает.
Остались вопросы по настройке прав доступа в битрикс пишите в комментариях, что вызвало сложность.
Оставить комментарий:
Управление доступом к папкам и файлам
Зачем это нужно |
Система предусматривает возможность отключения просмотра физической структуры сайта в Административном разделе. Это может быть полезно по следующим соображениям:
- если у какой-то группы пользователей есть такие права администрирования, которые в принципе могут привести к негативным последствиям в случае неграмотных действий;
- если квалифицированный администратор сайта в отъезде, отпуске и т. д., то полезно скрыть физическую структуру, оберегая проект от непредвиденных случайностей;
- чтобы контент-менеджеры не пребывали в недоумении, почему одни и те же страницы, разделы могут быть отображены дважды (в рамках физической и логической структуры): пусть работают только с логической структурой.
Как отключить просмотр физической структуры |
Для отключения просмотра физической структуры на странице настроек модуля Управление структурой (Настройки > Настройки продукта > Настройки модулей > Управление структурой) установите флажок в поле
Не отображать раздел «Файлы и папки» в меню «Структура сайта»
.
Примечание: Если в файловом менеджере продукта не отображаются файлы и папки и без включения функции Не отображать раздел «Файлы и папки» в меню «Структура сайта», то это происходит:
- либо в результате ошибки в настройках сайта (Настройки > Настройки продукта > Сайты > Список сайтов). Значение поля Путь к корневой папке веб-сервера для этого сайта не соответствует реальному пути к DOCUMENT_ROOT.
- либо на корневую папку сайта (DOCUMENT_ROOT) установлены права недостаточные для чтение её содержимого. В данном случае надо установить на папку наиболее полные права.
Как настроить права доступа к управлению структурой |
По команде Дополнительно > Показать права на доступ для >
нужная группа
отображается текущее право группы пользователей на доступ к папкам и файлам системы.
Настройка прав доступа к управлению структурой сайта выполняется в Менеджере файлов (Контент > Структура сайта). Для настройки прав:
- Перейдите в раздел Файлы и папки (Контент > Структура сайта > Файлы и папки)
- Отметьте нужные элементы в Колонке флажков;
- Выберите действие
Права на доступ продукта
на панели групповых операций и нажать кнопку Применить:В
форме настройки прав доступа
укажите уровень доступа каждой группы пользователей к выбранным файлам и папкам.
|
Права, которые могут быть назначены Группам пользователей |
|---|
Для настройки прав доступа к текущей директории (например, к корневой папке) нужно воспользоваться кнопкой Свойства папки, расположенной на контекстной панели:
Права групп пользователей на доступ к директории сайта наследуются всеми вложенными папками и файлами. Иными словами, задав право, скажем, на чтение одной папки, задаются права на чтение для всех вложенных в неё папок.
|
Задание прав на примере группы Редакторы сайта |
|---|
Управление доступом к файлам и папкам так же возможно и из
публичного раздела
Запрет на доступ к той или иной информации на сайте — достаточно частая операция. В «1С-Битрикс: Управление сайтом» создана гибкая система задачи прав на доступ к информации, вы всегда можете показать только то что хотите и кому хотите
Подробнее…
.
Чтобы пользователь мог редактировать те или иные страницы/разделы и на панели управления были соответствующие кнопки, для требуемой группы пользователей необходимо установить права на запись:
Внимание! Для изменений контента в Публичной части сайта пользователи необходим доступ на чтение к папке /bitrix/admin. Это папка, в которой расположен визуальный HTML-редактор. Без этого редактирование будет возможно только в текстовом режиме.
Нельзя закрыть доступ только к определенным папкам в разделе «Файлы и папки» (так, чтобы они не отображались для какой-либо группы пользователей). Чтобы группа пользователей могла работать только с конкретными папками, а остальные не видела, нужно закрывать доступ ко всему разделу «Файлы и папки» и открывать этой группе доступ к конкретным папкам, давая прямые ссылки на эти папки (группа пользователей сможет работать по прямым ссылкам, но файловой структуры не увидит).
Пример решения проблемы |
Была правильно создана группа и к ней приписан пользователь. Группе назначены следующие права доступа к административным частям модулей:
- Главный модуль — полный доступ;
- Управление структурой — полный доступ.
Но в административной части сайта пользователи созданной группы не имеют доступа к страницам и при авторизации выдается
сообщение об ошибке
.
Решение: По умолчанию новые пользователи имеют только право чтения для всех папок сайта, кроме папки /bitrix/admin/. Следовательно, для получения доступа вам необходимо установить права на чтение папки /bitrix/admin/:
Важно запомнить! |
- Права групп пользователей на доступ к директории сайта могут быть унаследованы всеми вложенными папками и файлами
- Все пользователи, которым требуется вносить хоть какие-то изменения в Публичной части сайта, должны иметь доступ на чтение к папке
/bitrix/admin.
Документация по теме: |
- Права доступа
Назад в раздел