Linux-Berechtigungen für Wordpress (LAMP)

Question

Ich versuche, einen Linux-Server mit sicheren Berechtigungen in/var/www zu konfigurieren. Ich habe gelesen, dass Sie aus verschiedenen Gründen Ihr Benutzerkonto nicht zur www-Datengruppe hinzufügen sollten. Stattdessen ist es das Beste (mir wurde gesagt), eine separate Entwicklergruppe zu erstellen.

Hier ist, was ich kam mit:

group add developers 
usermod -a -G developers my_account 
chown -R root:developers /var/www 
find /var/www/ -type d -exec chmod 775 {} \; 
find /var/www -type d -print | xargs chmod g+rwxs 
find /var/www/ -type f -exec chmod 664 {} \; 

Auch die Dateien/etc/apache2/envvars und fügen:

umask 002 

Fragen:

(a). Ist das einigermaßen sicher? (b). Ist irgendetwas davon überflüssig? (c). Erfordert dieses Setup eine Änderung der Standard-Umask? Wenn ja, zu was?

Answer 1

auf Redundanz, duplizieren diese Zeilen fast einander:

find /var/www/ -type d -exec chmod 775 {} \; 
find /var/www -type d -print | xargs chmod g+rwxs 

die ersten Sätze alle Berechtigungen, die zweite nur die Gruppenberechtigungen zu ändern. Für diesen Teil wird alles bis auf das Sticky-Bit gleich eingestellt.

Ich würde vorschlagen, die frühere Verwendung (wie diese Berechtigungen absolut setzt), aber ändern sie das Sticky-Bit enthalten, entweder von diesen mit:

find /var/www/ -type d -exec chmod 2775 {} \; 

oder alternativ:

find /var/www -type d -print | xargs chmod 2775 

sie machen genau dasselbe, aber die zweite ist effizienter: Die erste ruft chmod für jede Datei auf, die zweite ruft chmod für eine Gruppe von Dateien auf, so dass weniger häufig chmod startet.

Auf der Umask, ich nehme an, Sie wollen die Entwicklergruppe Schreibzugriff haben, aber die Dateien weltweit lesbar? In diesem Fall möchten Sie umask 002. Ich weiß nicht, was deine Standard-Umask ist, also weiß nicht, ob sich das ändern muss.