Здравствуйте, друзья! 

Я постоянно сталкиваюсь с размещением готовых web-проектов на "реальный" сервер. Раньше как-то небрежно всегда выставлял 777. В принципе за 5 лет ни 1 претензии по этому поводу не получал + все файлы всегда срабатывают, когда нужно и проблем 0. Но как делать грамотно? К примеру у меня есть папка с классами и папка с картинками пользователей. Какие нужно выставлять permission'ы, в соответствии с содержимым файлов, папок? Если можно, то хотелось бы знать конкретный рецепт, ну к примеру на картинки 0777, на папку с классами 0644 - т.е. конкретные цифры в конкретном случае? Т.е. как правильно различать разные файлы и в соответствии с этим выставлять права, которых достаточно файлу или папке.

Это сообщение отредактировал(а) linuxoid - 24.4.2011, 16:37

Всем кому интересно, отличная статья на английском: http://www.baliproject.com/blogs/68-chmod-...planation-.html Тема до конца не раскрыта, но в целом рекомендация такая: ставим на файлы 644, на директории 755. Если в директорию будут сохраняться картинки (или любые другие пользовательские файлы через браузер), то ставим 757. Если не поможет 757, то 777. Если есть (к примеру конфигурационные) файлы, которые вы обновляете через интерфейс браузера, то ставим на эти файлы 757 (может быть и поменьше получится, не проверял), на крайняк 777.

Это сообщение отредактировал(а) linuxoid - 28.4.2011, 18:41

Вот мне интересно, как лучше и правильней поступить.
Имеется портал:
Структура примерно такая
-----------www/
-----------www/----------users/
-----------www/----------users/----------user1/(фото пользователя)
-----------www/----------users/----------user2/(фото пользователя)
-----------www/----------users/----------user3/(фото пользователя)
-----------www/----------img/------------(тут картинки для сайта)

1. С какими правами нужно запускать север Apache ?
2. Какие права назначить папке www ?
3. Какие права назначить папке users ? (она изначально существует) и в нее, когда пользователь зарегистрировался, добавляется новая папка, в которой будут находится фотографии пользователя, так же пользователь может удалять свои фото из этой папки через браузер.
4. Какие права назначать папкам user1 - userN ?
5. На папку img какие права ? в нее ни каких записей не делается, ни чего не добавляется и не удаляется.

Маска 022 - хорошая вещь, автоматом на папки ставятся 755, на файлы 644, то что надо, но ведь есть еще и папки в каторые необходимо делать записи и т.д.

Вот к примеру на данный момент у меня такая история: на папку www(775), users(775), userN(775), img(755), все файлы с правами 644, на все папки и файлы пользователь root, группа www-data.

Что скажете ? Если что-то не првильно делаю, подскажите, был бы признателен.

Сейчас посмотрел настройки Апачи, сейчас пользователь www-data стоит, группа www-data, ранее root ставил на пользователя.

Посмотрел что в группе www-data состоит пользователь www-data. Это получается что толку ни какого нет от того что я на файлы и папки ставлю разные права для пользователя и для группы ... ??? к примеру пользователю я даю больше прав, группе чуть меньше, а др. еще меньше

так по ходу разобрался ...

Вот что я понял для себя - нужно смотреть какие пользователи сотоят в группе. По умолчанию у Апачи пользователь www-data и группа с таким же названием www-data, на мой взгляд это создает путаницу, 10 минут назад я думал что это одно и тоже, оказывается нет ... в группе www-data стостоит пользователь только один www-data. Тут можно так понять: если чел из интернета заходит на сайт, то он www-data, если я захожу на сайт под самым главным пользотелем, это же не означает что я вхожу в ОС под рутом ) ... так что хоть ты админ или кто-то другой ты все равно из семейства www-data.
Поехали далее. На папку www я назначил пользователя root, группа www-data, права назначил root и www-data могут все делать, остальные читать и исполнять. На папку www для группы www-data дал полные права потому что  сам скрипт мой в этой папке создает временый файл, необходимый для работы сайт лишь по этому, если бы этого не делалось, то поставил бы права читать и исполнять, но не писать в эту папку что либо. Хочится добавить следующее, у меня еще есть пользователя ftp, это тоже нужно предусмотреть. Мой пользователь ftp только может видить файлы и папки и скачивать их, но не более. Учитывая и их тоже в начале я делаю, чтоб так по быстрому в программе "GNOME commander", на все файлы ставлю пользователя любого, но не www-data и не ftp, ставлю пользователя системы, допустим "vova", права выставляю 644. Далее выделаю все папки на сайте, на них ставлю 755. Это походу основа, но у меня на сайте в некоторых папках необходимо создавать файлы (папки) , на эти папки выставляю 775, в общем где нужно чтоб через скрипт что-то создавалось внутри этой папки, то на это 775. И вот этот подход мне вдохнавляет. Зашел сейчас как пользователь ftp и посмотрел что могут они сделать, в общем ни чего только просмотреть содержимое "клетки" и скачать файлы, а все потому что мы изначально поставили 644 и 755 права, и пользователь ftp не состоит в группе www-data.
Лан, закончу на этом диалог сам с собой ).

Добавлено через 7 минут и 54 секунды
Когда пользователь заходит на сайт, регистрируется, создается папка и его файлы, то там происходит следующее, т.к. Апачи имеет пользотеля www-data и такую же группу, то файлы и папки уже тоже имеют пользователя www-data и группу такую же, на папку 755, на файл 644 ... вроде и нормально далее работает, т.е. файлы создаются в папке, изменяются, удаляются если это делает серверный скрипт.

Mass update прав доступа для файлов:
 

То же самое для папок:


/var/www/html замените на путь к сайту.

Выполняется естественно из bash