Wordpress 有一个 nice article 解释 unix 文件权限。阅读它,您将掌握它的基础知识。简而言之(理论上不正确):
Unix 系统指定 3 个不同的“角色”:用户、组和世界。尤其是“世界”似乎让人迷惑。
每个文件和目录(它们都是节点,因此在 Linux 系统中没有什么不同)被分配给一个用户和一个组。您可以将用户和组视为特定文件/目录的“所有者”(我将进一步讨论“节点”,因为它并不重要)。文件权限定义了谁可以对节点做什么。给出的例子:
文件 index.php 分配给用户 'aso' 和组 'www-data' 并具有文件权限模式 644。这意味着用户 (6) 具有读取和写入权限,组只有读取权限 ( 4),就像“世界”一样(三位数字的最后 4 位)。
现在首先您必须了解 *nix 系统上的每个用户都是一个组的一部分。组名有时与用户名相同,但组是另一个实体。因此,您可能有一个用户以及一个名为“aso”的组。
文件权限由“位掩码”构建,如下所示:读取权限由数字 4 指定,写入权限由 2 指定,执行权限由 1 指定。可以由此进行任何组合。在示例中,写入和执行权限被指定为 3(写入 = 2,执行 = 1),读取和执行权限被指定为 5(读取 = 4,执行 = 1)。
让我们看看这意味着什么,我必须公平地说,我在这件事上是不完整的。如果您想了解完整的故事,请使用 Google。
如果我在我的 *nix 系统上创建一个文件,它会自动分配给我(我的用户)和我的用户所属的组。拥有权限 644 这意味着我(以我自己的用户登录)可以读取文件并可以更改(写入)它。但我没有执行 (x) 权限。但这并不重要,因为这只适用于可执行脚本(shell 脚本,大多数情况下带有 .sh 扩展名)。文件所属的组('www-data')只有读取权限,所以不能更改文件。 “世界”也只有读取权限。
请注意,一个用户可以属于多个组,因此 *nix 文件权限的范围有限:您可能希望将写入权限分配给组 1,而仅将读取权限分配给组 2。在传统文件系统中这不可能。然而,像 reiserFS 和 Ext3 这样的文件系统可能会使用扩展的 ACL 来完成类似的事情。不过那是另一回事了。
这一切意味着什么?其实比想象中的要简单,只要你明白分配的权限是什么意思,文件节点和目录节点有什么区别。
文件
- 阅读:能够阅读其内容
- 写入:能够更改(写入和删除)其内容
- 执行:执行文件的能力(执行脚本,可能产生所有后果)
目录
- 阅读:阅读内容的能力。这意味着:列出节点名称,但不列出节点内容、类型等。
- 写入:添加/删除文件的能力
- 执行:能够列出它的内容,包括类型、最后修改日期等。
回到你的情况。如果你有一个正常的设置(一个运行 Apache 和 PHP 作为一个模块的 Linux 服务器),你的文件将被分配给你的 ftp 用户和组“www-data”(运行 Apache 的组)。您自己需要读取和写入权限(有时您想更改文件),但不需要执行权限(因为 PHP - 或 HTML 不是可执行文件)。所以对于用户来说,你需要一个 6(读取 = 4,写入 = 2,组合为 6)。对于组用户,您只需要读取权限,因为 Apache(或 PHP 模块)只需要读取您的 php 脚本的内容。系统上的任何其他用户都与您的文件无关,因此不需要所有权限(0)。
因此,对于您的所有脚本,640 的权限(用户可读写,组可读取,“世界”则无权限)就足够了。
对于您的用户需要所有权限的目录(读取 = 4、写入 = 2、执行 = 1、总共 7 个)。为什么?因为它需要读取它的内容(节点名称),必须能够确定它是文件还是目录节点(和其他属性)并且必须能够添加和删除文件(有时你想添加文件,不要'你呢?)。所以我们会给你的用户一个 7 分。
然而,该组('www-data',Apache 运行所在的组)只需要读取和执行权限。列出内容(节点名称)的读取权限和列出其他属性(节点类型、修改时间等)的执行权限。不过它不需要写权限,因为通常您不希望 PHP (Apache) 从应用程序树中添加/删除文件。
最后,“世界”,即系统上的所有其他用户(与最广义的世界不同)不需要任何权限。为什么服务器上的其他人需要访问您的文件?
加起来就是 750(用户的所有权限,组的读取和执行权限,其他人没有)。
您的问题的总结答案,最低限度是:
但总是很好,相当标准且足够安全: