大多数 VPS 都有一个由 1 名以上用户组成的团队,他们除了配置系统和处理网站和/或数据库外不做其他任何事情。我认为所有团队成员都会像“开发人员”一样组成一个组,这样他们就可以根据需要处理 Web 根目录中的文件。
考虑到这一点,会不会umask 007有一个比默认设置更好的设置022?毕竟,由于这台机器的主要用途是提供网页服务,所以不应该有任何“其他/世界”用户。所有开发人员都可以访问,并且没有任何“访客”登录...
答案1
是和否 umask有时是值得改变的。通常,最好是“默认拒绝”,即默认大多数情况下都使用最低权限。您可能会发现,如果您更改默认的 umask 并且不特别了解权限,您可能会遇到默认权限阻止事情正常进行的情况。
例如,通过 CPAN 安装的 PERL 模块未在安装过程中设置公共可读的权限,因此 Web 应用程序稍后将无法读取它。
确实,强化权限的主要好处将在多用户系统中体现出来。不过,特别注意互联网可访问守护进程中可轻松访问的任何内容也很重要。
为了强化权限,最好查看任何 SUID 或公共可写权限。我发现自己每天都在验证权限,并将它们调整为最不必要的权限。当我更改 umask 时,通常是为了特定目的,例如针对特定用户组或以编程方式创建文件时。
如果您正在寻找一些针对服务器的“最佳实践”和常规强化技术,请查看 Bastille。如果我没记错的话,里面有一些东西可以更改默认的 umask。
答案2
这不是一个直接的答案,但“最佳做法”是不是有多个帐户在 Web 根目录上工作。相反,使用版本控制系统(任何版本控制系统都可以,但对于此目的来说无关紧要)和部署脚本来控制 Web 根目录。这解决了您的权限问题,并且是任何类型的工作负载(流量)或劳动力(更多开发人员)扩展的绝对先决条件。