Самой правильной(броневой) практикой вроде как считается - создание двух пользователей для проекта: для деплоя и для работы сервера. Помещение их в одну группу.
Выставление прав на большинство (по возможности все) фалы проекта - 644.
Выставление прав на большинство (вот тут скорее всего не все) директории проекта - 755.
Для тех фалов/директорий, куда должен мочь писать сервер (логи, кеш и т.п.) - 664 и 775 соответственно.
Owner у всего, что не создал сервер: пользователь_для_деплоя:общая_группа .