Как секьюрно задать права на каталоги?

Question

[Марк Розенталь]

Прив!
Наверное знаете, когда заливаешь любой сайт в /www на сервере, а он должен уметь работать с файлами, встает проблема: какие права задать, чтобы секурно и завтра не поломали?
Сейчас пришлось залить вордпресс, там есессно тоже нужно расставлять права на все это.
Нашел на stackoverflow такое заплюсованное предложение, но чет мне кажется давать права на каталог группе www-data не круто. Или круто?
Есть другие несложные способы, или этот норм?

chown www-data:www-data -R *          # Let apache be owner
find . -type d -exec chmod 755 {} \;  # Change directory permissions rwxr-xr-x
find . -type f -exec chmod 644 {} \;  # Change file permissions rw-r--r--

Answer 1

[Игорь Воротнёв]

Ответ на StackOverflow правильный.

Для файлов нужны права 644, что означает:

Владелец - чтение, запись
Группа - чтение
Все - чтение

Для директорий 755, что означает:

Владелец - чтение, запись, выполнение
Группа - чтение, выполнение
Все - чтение, выполнение.

Дополнительный бит для директорий нужен, потому что без права на выполнение вы не сможете директорию открыть. Именно X позволяет открывать файлы внутри директории.

Answer 2

[Дмитрий]

мало информации, нужно понимать что за ОС на сервере и как запускается тот же apache
но для примера Как правильно настроить apache на ubuntu?

Comments

[Марк Розенталь]

У меня Nginx

[Игорь Воротнёв]

Марк Розенталь: Nginx, Apache, Node и тд - это сути не меняет. Важно под каким юзером запускается процесс веб-сервера. По умолчанию в Дебиане - www-data, группа www-data.

Answer 3

[mureevms]

Все верно, именно так и надо делать, только перед командами перейти в /var/www

Comments

[Марк Розенталь]

По умолчанию дебиан не использует каталог /var/www из-за своей политики размещения пакетов :)
У меня в /usr/share/nginx/www. Впрочем, это не так важно.

[Игорь Воротнёв]

Марк Розенталь: Дебиан (как и Убунта) по умолчанию просто не создает эту папку. Есть такое general rule of thumb, что все приватные юзерские файлы должны быть в папке юзера /home/username/, а юзерские файлы, доступные извне через вебсервер - в папке /var/www/sitename/, так же как и все логи в папке /var/log/, временные файлы - в папке /var/tmp/. Грубо говоря, именно папка /var/ является тем местом, куда надо запихивать все кастомные и изменяемые файлы.

Answer 4

[ТыжСисАдмин]

В дополнение к Игорь Воротнёв
В директориях для изображений, css и т.п. запрещаете выполнение скриптов.