Какие назначить права и владельца на папку для безопастности, если они редактируются из скрипта?

Question

[antobra]

Подскажите, как сделать с точки зрения безопасности следующее.

Дано:

Есть папка /folder/website.ru/публичная_часть_скриптов = Права 755 и 644 владелец www-data
Есть папка /folder/data/секретные_файлы_с_паролями_и_пр = Права 755 и 644 владелец www-data
Настройка nginx root на папку /folder/website.ru/ (то есть к публичной части)
Файлы из /folder/data/ имеют владельца www-data, тк редактируются из скрипта.

Проблема: безопасность файлов в папке /folder/data, тк для редактирования этих самых файлов из скрипта в публичной папке приходится делать владельца www-data.

Вопрос: Насколько это безопасно и что можно сделать для большей безопасности?

Answer 1

[Boris Köln]

У всех скриптов, а тем более в публичной части не должно быть права на запись у www-data! Иначе зальют бэкдор. У скриптов сделайте владельцем себя, а www-data и nginx root разрешите только чтение.

Если заливаются картинки в отдельную папку - пусть будут права на запись у www-data. Но правильно настройте nginx, чтобы всё из этой папке отдавалось без исполнения php.
Все остальные редактируемые данные храните в БД.

Очевидно, что это должно быть не на shared-хостинге, а как минимум VPS.