静态网站文件的权限

Question

问题在于最佳实践，而不是一个确切的问题。

什么是静态网站文件和目录的正确所有权和权限？我将使用权限为640的文件和750个目录的root:<server-group>。因此，由于组权限，服务器可以读取所有内容，但是常规用户不能意外或故意地修改文件，而不显式地使用sudo。

或者也许有更好的练习我不知道？我的方法看起来有点太复杂了。

Answer 1

根不需要阻止用户修改人们负责的文件。可以通过将所有权授予非特权用户(例如同步文件的服务用户)来实现同样的目标。

理想情况下，web服务器运行的用户和任何特定的人都不会运行，而只是一些执行文件传输的自动化用户。负责内容阶段文件的人员将文件复制到某个存储区，并在准备部署文件时将其复制到相应的位置。不需要人们触摸生产的web服务器，也不需要特殊的特权。

由root拥有，应该需要重构或更改文件，管理员或自动脚本可能需要成为root用户。这是非常高的特权，能够删除安全措施或以其他方式破坏主机。

当然，安装点或软件包由root拥有是有意义的，因此更改系统需要特权。例如，如果一个网站的内容位于/srv/www/example.net/，/srv/和/srv/www/可以由root拥有，而诸如/srv/www/example.net/由非特权用户拥有的网站。