Я использую LEMP VPS со следующей настройкой:
cd /home/$USER/public/myDomain.com # change directory to myDomain.com
chown -R nginx:nginx . # change file ownership
find . -type d -exec chmod 750 {} \; # change permissions for directories
find . -type f -exec chmod 640 {} \; # change permissions for files
chmod 400 wp-config.php # change permission for wp-config
Проблема в том, что я не могу войти в папку «myDomain.com» без входа в систему как root. Кроме того, я не могу запустить wp-cli
как $ USER
, мне нужно выполнить следующее:
sudo -u nginx wp <wp-command> # running wp-cli as user `nginx`
Итак, как сказано в заголовке, каковы настройки безопасности для владение файлом и разрешение на LEMP VPS.
Это полностью описано в NGINX и PHP-FPM. Какими должны быть мои разрешения?.
По существу:
example.com
создайте пользователя example
.usermod -a -G example nginx
С предлагаемой установкой chmod 400 для wp-config.php
приведет к доступу только для чтения к конфигурации, только для пользователя сайта (и NGINX не сможет его обслужить, и это хорошо).
При наличии: ник
(пользователь sudo) и пример
пользователя (зависит от сайта). ..:
Файлы веб-сайта следует либо переместить в независимую от пользователя папку (например, в /var/www/example.com
). Или (немного хуже) быть помещенным в домашний каталог пользователя веб-сайта, например. /home/example/example.com
.
Если вы собираетесь использовать одного пользователя SSH для подключений, вы можете просто изменить его на конкретного пользователя по своему желанию. Например. если вы предпочитаете всегда подключаться с ник
, но иногда работать с example.com
, вы должны измениться на пользователя веб-сайта с помощью sudo -iu example
.
Хранение файлов веб-сайта в домашнем каталоге пользователя с поддержкой sudo не кажется безопасным и наименее предпочтительным:
нику
(и у вас не будет пример
пользователя), в случае взлома веб-сайта они могут получить административный доступ ко всему серверупримеру
, единственный способ работа заключается в снижении ограничений на /home/nick
с 07:00 до 07:50, по крайней мере). Благословенное FHS расположение для обслуживаемых файлов на самом деле /srv/
, что спорно, но в любом случае лучше, чем домашние каталоги.