我正在尝试为我的服务器上的 /var/www 建立一套安全的所有权/权限标准。所有权是 apache 或非 apache,权限是 000-777 之间的任何值。
这是我的第一次尝试。我不认为自己是服务器管理员,也不具备安全知识,所以我在寻求建议、反馈和更正。
/uploads/ 目录阿帕奇:666
(所以 apache 和 devs 可以读/写,但不能执行?)PHP 文件非Apache:665
(所以任何人都可以执行,但只有开发人员可以更改?).htaccess 文件,也许还有 JS 和 CSS? 非Apache:664
(apache 只能读取,开发人员可以更改?)
答案1
第一个不起作用 - 您需要能够执行目录才能打开它(这就是 unix 目录中的执行操作)。
我建议将不同的用户添加到相关组(例如开发人员),然后给予“任何人”无权限或只读权限(因此将最后一部分设置为 0)。如果您只有一个相关组,请将文件夹的组更改为该组并递归设置权限以执行您需要的操作。或者,如果您使用的是启用了 acl 的基于 RedHat 的发行版,请查看 setfacl - 它允许您向用户/组授予文件/文件夹的特定权限。以下是两个示例:
setfacl -m user:john:r-x someFile.php
setfacl -m user:michael:--- michael_mustnt_read.txt
setfacl -R -m group:devs:rwx scripts/- 允许开发人员在此目录中拥有完全权限。-
setfacl -d -R -m group:devs:rwx scripts/与上面相同,但不会对现有文件进行任何更改,默认设置新文件的权限。