Tôi thích gắn kết phân vùng với -o acl. Điều này cho phép bạn sử dụng lệnh setfacl để cung cấp các quyền truy cập chi tiết tốt cho các tệp và thư mục, thay vì chỉ chỉ định các quyền khác của nhóm người dùng.
Vì vậy, hãy đặt acl vào dòng phân vùng của bạn trong / etc / fstab hoặc kết nối lại với mount -o remount, acl / mnt / xy, sau đó trao quyền sở hữu thư mục web của bạn cho bất kỳ ai: không ai. Chmod tới 770 và sử dụng setfacl để chỉ cấp quyền ghi trên các thư mục cần nó, vd. cung cấp dữ liệu www (hoặc người dùng máy chủ web của bạn chạy dưới dạng) ghi quyền cho thư mục tải lên và cấp quyền ghi cho người dùng của riêng bạn cho toàn bộ thư mục.
mkdir dir
chown nobody:nobody dir
setfacl -m u:www-data:r-x,d:u:www-data:r-x dir
setfacl -m u:www-data:rwx,d:u:www-data:rwx dir/upload
setfacl -m u:youruser:rwx,d:u:youruser:rwx dir
Bây giờ không ai có thể đọc các tệp của bạn, ngoài máy chủ web và người dùng của riêng bạn. Bạn có thể ghi vào mọi tệp trong thư mục và máy chủ web chỉ có thể ghi vào thư mục tải lên.