站点目录权限设置推荐方案：安全与性能的最佳实践

一、目录权限设置的核心原则

合理的目录权限应遵循最小权限原则（PoLP）：

• 用户隔离：Web服务账户（如www-data、nginx）应独立于系统管理员账户
• 读写分离：可写目录与只读目录严格区分
• 执行限制：非必要不赋予执行权限（尤其上传目录）

二、Linux系统推荐方案

1. 基础权限结构

 典型LAMP环境目录结构
chown -R root:www-data /var/www/
find /var/www/ -type d -exec chmod 750 {} ;
find /var/www/ -type f -exec chmod 640 {} ;

2. 特殊目录处理

• 上传目录：

  chown -R www-data:www-data /var/www/uploads
  chmod -R 770 /var/www/uploads

  Bash

  Copy
• 配置文件：

  chmod 600 /var/www/config/database.php

  Bash

  Copy

三、Windows系统配置要点

1. IIS环境配置

• 为应用程序池分配专用账户
• 设置NTFS权限时禁用继承并明确指定：

  icacls C:inetpubwwwroot /grant "IIS_IUSRS:(OI)(CI)(RX)"

  PowerShell

  Copy

四、高级安全加固措施

1. PHP防护：禁用危险函数（如exec、system）
2. 目录限制：通过open_basedir限制PHP访问范围
3. 日志监控：实时监控敏感目录的权限变更

五、自动化管理方案

推荐使用配置管理工具实现权限标准化：

 Ansible示例
- name: Set web directory permissions
  file:
    path: "/var/www/{{ item.path }}"
    owner: "{{ item.owner }}"
    group: "{{ item.group }}"
    mode: "{{ item.mode }}"
  loop:
    - { path: '', owner: 'root', group: 'www-data', mode: '0750' }
    - { path: 'uploads', owner: 'www-data', group: 'www-data', mode: '0770' }