ห้ามใช้ผู้ใช้ฐานข้อมูลเป็นผู้ใช้ UNIX www-data
ใช้
sudo chown -R www-data:www-data /var/www
มีความแตกต่างระหว่างผู้ใช้ฐานข้อมูลและผู้ใช้ Apache ผู้ใช้ Apache เป็นคนเดียวที่สามารถอ่านไฟล์ได้ ผู้ใช้ฐานข้อมูลมีไว้สำหรับให้ / รับสิทธิ์ในการอ่าน / เขียนฐานข้อมูล
นอกจากนี้ให้สิทธิ์เริ่มต้นจากการติดตั้ง webapp อย่าเปลี่ยนแปลงสิ่งเหล่านั้นยกเว้นการเป็นเจ้าของผู้ใช้ / กลุ่ม หากคุณได้รับคำแนะนำจาก webapp ให้เปลี่ยนการอนุญาต
หากคุณกังวลเกี่ยวกับความปลอดภัยมากขึ้นคุณสามารถเรียกใช้คำสั่งต่อไปนี้แทน:
sudo chown -R $USER:www-data /var/www
sudo chmod -R 640 /var/www
สิ่งนี้ทำให้ไฟล์จริงที่ผู้ใช้ของคุณเป็นเจ้าของเพื่อให้มีเพียงคุณ (และรูท) เท่านั้นที่สามารถแก้ไขได้ เหตุผลที่www-data
มีการอ้างอิงคือเพื่อให้ Apache ยังคงสามารถอ่านไฟล์ แต่ไม่ได้เขียนถึงพวกเขา
การ640
อนุญาตให้คุณ (เจ้าของไฟล์) อ่านและเขียนในขณะที่อนุญาตให้www-data
กลุ่มอ่านไฟล์ นอกจากนี้ยังบล็อกบุคคลอื่นไม่ให้อ่านเนื้อหาไฟล์
(ด้านบนเป็นวิธีเดียวเท่านั้นที่เป็นไปได้ ( ยังไม่ได้ทดสอบ ) มีวิธีที่ดีกว่านี้ที่นี่ )