वर्डप्रेस को अपडेट करने के लिए मेरी निजी ssh कुंजी की आवश्यकता क्यों है?

एप्लिकेशन के भीतर अपडेट करने के लिए वर्डप्रेस कॉन्फ़िगर करना (यानी वर्डप्रेस) इसकी सुविधा के कारण मेरे लिए आदर्श है। बहरहाल, मैं आवश्यकताओं से परेशान हूं। अनुरोधित फ़ील्ड जो php के लिए ssh2 को स्थापित करने के बाद दिखाई देते हैं, न केवल मेरी सार्वजनिक कुंजी, बल्कि मेरी निजी कुंजी भी पूछते हैं। मुझे लगता है कि, सबसे अधिक, केवल सार्वजनिक कुंजी की आवश्यकता होगी।

क्या वर्डप्रेस वास्तव में मेरी निजी कुंजी सर्वर को देता है ताकि सर्वर सही सॉफ्टवेयर पैकेज को मेरे सर्वर पर अपलोड कर सके? मैं इससे परिचित हूँ कि SSH निजी / सार्वजनिक कुंजी कैसे काम करता है, यही वजह है कि मैं उलझन में हूँ कि वर्डप्रेस को इसकी आवश्यकता क्यों है। अगर कुछ भी, मुझे लगता है कि अद्यतन करने के लिए तंत्र भी इस प्रोटोकॉल की आवश्यकता नहीं होगी; यह पैकेज सर्वर के लिए बस http या ftp का उपयोग करेगा और फिर वहां से डाउनलोड / इंस्टॉल / सक्रिय करेगा।

वर्डप्रेस को मेरी ssh कुंजियों की आवश्यकता क्यों है? क्या यहां सुरक्षा की चिंता है?

अनिवार्य रूप से, वर्डप्रेस को सर्वर से वापस कनेक्ट करना होगा जहां यह वास्तव में चल रहा है।

कई संभव तरीके हैं जो वर्डप्रेस फ़ाइलों को लिखने के लिए उपयोग कर सकते हैं और इस प्रकार एक उन्नयन के दौरान खुद को "अधिलेखित" कर सकते हैं। सुरक्षा के दृष्टिकोण से, इस प्रक्रिया का महत्वपूर्ण हिस्सा यह है कि नई फाइलों में पुरानी फाइलों की तरह ही स्वामित्व होना चाहिए।

तो, वर्डप्रेस सीधे एक फ़ाइल लिखकर पहले परीक्षण करता है और जांचता है कि परिणामी मालिक कौन है। यदि स्वामी PHP फ़ाइलों से मेल खाता है, तो यह जानता है कि यह सही स्वामित्व वाली फ़ाइलों को लिख सकता है (इसका मतलब है कि प्रक्रिया फ़ाइल स्वामी के लिए "सेट्युइड" है)।

यदि परिणामी फ़ाइल एक अलग उपयोगकर्ता आईडी के स्वामित्व में है (जो कि यदि अपाचे / पीएचपी एक अलग उपयोगकर्ता के रूप में चल रहा है, जैसे "www" या "अपाचे" उपयोगकर्ता), तो वर्डप्रेस को फ़ाइलों को बनाने के लिए एक अलग विधि का उपयोग करना होगा सही मालिक।

एक दृष्टिकोण सरल एफ़टीपी है। यदि यह सर्वर पर मौजूद एफ़टीपी कनेक्शन को वापस बनाता है, तो उस पर फ़ाइलें लिखता है, जिसके परिणामस्वरूप फ़ाइलें एफ़टीपी के रूप में लॉग इन करने वाले के स्वामित्व में होंगी। तो, यह एफ़टीपी जानकारी के लिए उपयोगकर्ता को संकेत देता है।

लेकिन FTP बहुत सुरक्षित नहीं है। तो जैसा कि आपने पाया है, SSH2 के माध्यम से एक और तरीका है। PHP के लिए SSH लाइब्रेरी का उपयोग करना, यह SSH कनेक्शन को उसी तरीके से सर्वर पर वापस कर सकता है। और है कि क्यों यह एक निजी कुंजी की आवश्यकता है क्योंकि यह अपने आप के लिए एक निवर्तमान कनेक्शन वापस करने के लिए उपयोग कर रहा है कि है। उस कनेक्शन को बनाकर, यह क्रेडेंशियल सेट कर सकता है, और उन उपयोगकर्ताओं के रूप में फाइल लिख सकता है जिनके पास उन क्रेडेंशियल्स हैं।

यदि आप उन कुंजियों के बारे में चिंतित हैं, तो कुंजियों का एक नया सेट जनरेट करें और विशेष रूप से इस उद्देश्य के लिए उन का उपयोग करें।

आपके प्रत्यक्ष प्रश्न का उत्तर देने के लिए, नहीं, वर्डप्रेस कहीं भी "कुंजी" नहीं देता है। यह अपग्रेड पैकेज को डाउनलोड करता है, इसे अनपैक करता है, और फिर उन कुंजियों का उपयोग करके अपने स्वयं के सर्वर (लूपबैक, मूल रूप से) के लिए एक कनेक्शन बनाता है, और फिर उस कनेक्शन पर फ़ाइलों की प्रतिलिपि बनाता है। ऐसा करने में, क्रेडेंशियल्स का अर्थ है कि फ़ाइलें सही स्वामित्व प्राप्त करती हैं और मुख्य Apache / www / php प्रक्रिया के स्वामित्व वाली वर्डप्रेस फ़ाइलों के सुरक्षा मुद्दों से बचती हैं।