Nginx и сайт в home/username — как правильно настроить права?

Question

[Андрей Хохлов]

Ubuntu + nginx + php-fpm.

Стандартная настройка по гайдом из выдачи гугла (вроде этого). Root запрещен к логину, всю настройку делает пользователь username через sudo.
Доступ по ftp у этого пользователя в его директорию с помощью vsftpd.

Есть директория: /home/username/example.com/public_html
В nginx настроен хост с root к этой директории, но при заходе ошибка 403 Forbidden.

Набор команд которыми я добился:
1. Корректной работы по фтп (добавляю, удаляю и т.д.) под этим пользователем
2. index.html открывается
3. Устанавливается Wordpress (с созданием файла конфига), устанавливаются плагины, загружаются файлы

sudo usermod -aG www-data username
sudo chown -R www-data:www-data /home/username/example.com/public_html
sudo chmod -R 0775 /home/username/example.com/public_html

Придумал не сам, это и на serverfault, и на DO советуют.

Но смущает, что часто в комментах кто-то, явно бородатый, хмурит брови и пишет мол так не очень правильно. Но почему это не правильно и как тогда правильно - найти не могу.

Собственно вопрос - как правильно то?

Answer 1

[Пума Тайланд]

дать права только юзеру и его группе
в нгинксе настроить работу только от этого юзера в пхп-фпм тоже

Comments

[Андрей Хохлов]

Поясните, пожалуйста, в чем разница?

В одном случаем username в группе www-data (nginx работает от пользователя www-data), в другом - nginx работает от username. Почему второй способ правильнее?

Мне (я не админ ни разу, играю с VPS больше для развития и развлечения) это видится просто переменой мест слагаемых :(

[Пума Тайланд]

Андрей Хохлов: оба случаи правильные , второй дает больше изоляции.